Change background image
LOVE quotion

Bắt đầu từ 4.53' thứ Hai ngày 17/10/2011


You are not connected. Please login or register

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down  Thông điệp [Trang 1 trong tổng số 1 trang]

North
North Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 495

Danh vọng : 976

Uy tín : 3

Chuyển sang mã hóa WPA/WPA2-Enterprise Image010

Chắc chắn nhiều người trong số bạn đọc đã biết, mã hóa Wired Equivalent Privacy (WEP) là một kiểu mã ngày nay không còn an toàn. Chuẩn bảo mật cho mạng LAN không dây đầu tiên, được phát triển bởi IEEE, đã xuất hiện lỗ hổng cho phép các kẻ tấn công có thể bẻ khóa.

Năm 2003, Hiệp hội Wi-Fi đã phát hành một chuẩn bảo mật khác mang tên Wi-Fi Protected Access. Mặc dù phiên bản đầu tiên (WPA), phiên bản sử dụng mã hóa TKIP/RC4, đã gây cho các kẻ tấn công đôi chút thất vọng, nhưng nó vẫn không được coi là an toàn.

Trong phiên bản thứ hai (WPA2), được phát hành vào giữa năm 2004, khả năng bảo mật đã được cải thiện khá tốt với thực thi chuẩn bảo mật IEEE 802.11i và mã hóa CCMP/AES.

Trong bài này, chúng tôi sẽ giới thiệu cho các bạn hai chế độ rất khác nhau trong truy cập một mạng Wi-Fi được bảo vệ (Wi-Fi Protected Access) và giới thiệu cách chuyển từ chế độ Personal sang chế độ Enterprise.

Hãy bắt đầu!

Hai chế độ của WPA/WPA2: Personal (PSK) và Enterprise

Chuyển sang mã hóa WPA/WPA2-Enterprise Maxres10

Cả hai phiên bản của Wi-Fi Protected Access (WPA/WPA2) đều có thể được thực thi trong hai chế độ:


  • Chế độ Personal hoặc Pre-Shared Key (PSK): Chế độ này thích hợp với hầu hết các mạng gia đình – không thích hợp với các mạng doanh nghiệp. Bạn có thể định nghĩa mật khẩu mã hóa trên router không dây và các điểm truy cập (AP) khác. Sau đó mật khẩu phải được nhập vào bởi người dùng khi kết nối với mạng Wi-Fi.

    Mặc dù chế độ này dường như rất dễ thực thi, nhưng nó không thể bảo đảm an toàn cho mạng doanh nghiệp. Không giống như chế độ Enterprise, truy cập không dây không mang tính riêng biệt hoặc có thể quản lý tập trung. Một mật khẩu được áp dụng cho tất cả người dùng. Nếu mật khẩu toàn cục cần phải thay đổi thì nó phải được thay đổi trên tất cả các AP và máy tính. Điều này sẽ gây ra rất nhiều khó khăn khi bạn cần thay đổi; cho ví dụ, khi một nhân viên nào đó rời công ty hoặc, khi có máy tính nào đó bị mất cắp hoặc bị thỏa hiệp.

    Không giống như chế độ Enterprise, mật khẩu mã hóa được lưu trên các máy tính. Mặc dù vậy, bất cứ ai trên máy tính – dù là nhân viên hay tội phạm – cũng đều có thể kết nối với mạng và cũng có thể khôi phục được mật khẩu mã hóa.

  • Chế độ Enterprise (EAP/RADIUS): Chế độ này cung cấp khả năng bảo mật cần thiết cho các mạng không dây trong các môi trường doanh nghiệp. Mặc dù phức tạp trong thiết lập, nhưng chế độ bảo mật này cung cấp khả năng điều khiển tập trung và phân biệt trong việc truy cập mạng Wi-Fi. Người dùng được gán các thông tin đăng nhập mà họ cần phải nhập vào khi kết nối với mạng, các thông tin đăng nhập này có thể được thay đổi hoặc thu hồi bởi các quản trị viên bất cứ lúc nào. 

    Người dùng không cần quan tâm đến các khóa mã hóa thực sự. Chúng được tạo một cách an toàn và được gán trên mỗi session người dùng trong chế độ background sau khi một người dùng nào đó nhập vào các chứng chỉ đăng nhập của họ. Điều này sẽ tránh được việc ai đó có thể khôi phục lại khóa mạng từ các máy tính.


Giới thiệu thẩm định 802.1X và các máy chủ RADIUS

Phương pháp thẩm định được sử dụng để thẩm định các thông tin người dùng (và máy chủ) trên các mạng WPA/WPA2-Enterprise được định nghĩa theo chuẩn IEEE 802.1X. Cách thức thẩm định này yêu cầu một máy chủ ngoài, vẫn được gọi là máy chủ Remote Authentication Dial In User Service (RADIUS) hoặc Authentication, Authorization, và Accounting (AAA), được sử dụng cho một loạt các giao thức mạng và các môi trường có chứa ISP.

Một máy chủ RADIUS cần phải hiểu ngôn ngữ Extensible Authentication Protocol (EAP) và có thể truyền thông với các AP không dây, ám chỉ như các máy khách RADIUS hoặc các bộ thẩm định. Máy chủ RADIUS về bản chất sẽ phục vụ như một máy trung gian giữa các AP và dữ liệu người dùng. Để từ đó các AP có thể truyền thông trực tiếp với máy khách 802.1X, cũng được nói đến như một 802.1X Supplicant, trên máy tính hoặc thiết bị của người dùng.

Thẩm định 802.1X không dựa trên port. Điều này có nghĩa khi ai đó cố gắng kết nối đến một mạng doanh nghiệp được bảo vệ, sự truyền thông sẽ được phép qua một cổng ảo để truyền tải các thông tin đăng nhập. Nếu quá trình thẩm định thành công, các khóa mã hóa sẽ được gửi đi một cách an toàn và người dùng lúc này sẽ được trao quyền truy cập hoàn toàn.

Máy chủ thẩm định (Authentication)

Có một số cách bạn có thể có được một máy chủ thẩm định 802.1X:


  • FreeRADIUS: Đây là một trong những máy chủ AAA phổ biến nhất trên thế giới. Dù nó là một dự án mã nguồn mở, miễn phí, nhưng máy chủ này có nhiều điểm khá tiến bộ. Nó có sẵn cho các nền tảng khác nhau, gồm có Linux, Mac OS X, và Windows. Mặc định, bạn thay đổi các thiết lập này trong file cấu hình. 
     
  • Windows Server: Nếu đã thiết lập một Windows Server, bạn có thể sử dụng một Internet Authentication Service (IAS) có trong Windows Server 2003 hoặc Network Policy Server (NPS) trong Windows Server 2008. 
     
  • Outsourced Services: Các dịch vụ hosting, chẳng hạn như AuthenticateMyWiFi, là một trong những cách khá hay cho những ai không muốn đầu tư nhiều tiền của hoặc thời gian vào việc thiết lập một máy chủ RADIUS, có nhiều văn phòng, hoặc không có chuyên môn kỹ thuật sâu. Các dịch vụ này có thể cung cấp nhiều chức năng bổ sung cho các máy chủ RADIUS truyền thống.

    Cho ví dụ, các AP không phải kết nối trực tiếp với Internet; chúng có thể được đặt phía sau các router NAT hoặc gateway, cho phép bạn có thể gán một bí mật duy nhất nào đó cho mỗi AP. Các dịch vụ này cũng có panel điều khiển trên web, do dó người dùng có thể dễ dàng cấu hình các thiết lập thẩm định.


Các ưu điểm khác của EAP

Bộ óc phía sau cơ chế thẩm định 802.1X chính là Extensible Authentication Protocol (EAP). Có khá nhiều ưu điểm khác của EAP. Nên sử dụng những tính năng nào trong mỗi tổ chức là hoàn toàn phụ thuộc vào mức bảo mật mong muốn, cũng như sự phức tạp ở một mức độ nào đó và các chi tiết kỹ thuật server/client.

Đây là các kiểu phổ biến nhất:


  • PEAP (Protected EAP): Đây là một trong các phương pháp EAP phổ biến nhất và dễ thực thi. Nó có thể thẩm định người dùng thông qua username và password mà họ nhập vào khi kết nối với mạng. 

    Máy chủ thẩm định cũng có thể được hợp lệ hóa trong suốt quá trình thẩm định PEAP khi một chứng chỉ SSl được cài đặt trên máy chủ. Kiểu này được hỗ trợ mặc định trong Windows. 

  • TLS (Transport Layer Security): Là một trong những kiểu bảo mật an toàn nhất, tuy nhiên lại khá phức tạp trong vấn đề thực thi và bảo trì. Quá trình hợp lệ hóa máy chủ và khách đều cần được thực hiện thông qua chứng chỉ SSL. Thay vì phải cung cấp username và password khi kết nối, các thiết bị của người dùng hoặc các máy tính phải được load file chứng chỉ SSL vào máy khách 802.1X của nó.

    Các quản trị viên có thể kiểm soát Certificate Authority (CA) và quản lý các chứng chỉ máy khách, điều này cho phép họ có nhiều quyền kiểm soát, nhưng cũng yêu cầu nhiều thời gian quản trị hơn.

  • TTLS (Tunneled TLS): Một phiên bản được cải tiến của TLS, không yêu cầu chứng chỉ bảo mật phía máy khách, vấn đề này đã giảm được sự phức tạp trong việc quản lý mạng. Mặc dù vậy, kiểu EAP này không có sự hỗ trợ nguyên bản trong Windows; nó cần đến một máy khách thứ ba như SecureW2.


Các bước tiếp theo của bạn

Qua những gì chúng tôi giới thiệu cho các bạn ở trên, chắc chắn bạn đã biết được cơ chế thẩm định 802.1X làm cho mã hóa WPA/WPA2-Enterprise trở thành một cách có thể bảo mật các mạng Wi-Fi trong doanh nghiệp. Ngoài ra các bạn cũng biết được rằng để thực hiện chúng, ta cần có máy chủ thẩm định và PEAP, TLS, và TTLS là các kiểu EAP phổ biến.
Đây là một số mẹo có thể giúp bạn với các bước tiếp theo:


  • Tìm và chọn một máy chủ RADIUS hoặc dịch vụ outsource.
  • Thiết lập một máy chủ RADIUS với các thiết lập EAP, AP và người dùng.
  • Cấu hình các AP với các thông tin mã hóa và máy chủ RADIUS.
  • Cấu hình Windows (hoặc hệ điều hành khác) với các thiết lập mã hóa và 802.1X.
  • Cuối cùng, kết nối với mạng Enterprise được bảo vệ của bạn!


 Theo Quản Trị Mạng
      
North
North Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 495

Danh vọng : 976

Uy tín : 3

Triển khai bảo mật không dây WPA2-Enterprise trong doanh nghiệp nhỏ

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn một số vấn đề cần biết khi thiết lập bảo mật không dây WPA2-Enterprise. Các thông tin trong bài bao giồm những mẹo giúp các bạn có thể hiểu, cài đặt và quản lý vấn đề bảo mật không dây trong các doanh nghiệp nhỏ.

Khi thiết lập một mạng không dây, chắc chắn các bạn sẽ thấy có hai chế độ bảo mật Wi-Fi Protected Access (WPA) khác nhau đó là WPA và WPA2.

Có thể nói chế độ Personal là chế độ dễ cài đặt nhất, đây là chế độ vẫn hay được gọi là Pre-Shared Key (PSK). Nó không yêu cầu bất cứ thứ gì ngoài Router không dây, các điểm truy cập AP và việc sử dụng mật khẩu cho tất cả người dùng hay thiết bị.

Chuyển sang mã hóa WPA/WPA2-Enterprise Security

Một chế độ khác đó là Enterprise, đây là chế độ mà các doanh nghiệp và tổ chức nên sử dụng, nó cũng được biết đến như RADIUS, 802.1X, 802.11i hoặc EAP. Chế độ này cung cấp giải pháp bảo mật hữu hiệu hơn, quản lý khóa tốt hơn và hỗ trợ các chức năng doanh nghiệp khác như VLAN và NAP. Mặc dù vậy chế độ này yêu cầu cần có thêm một máy chủ xác thực, Remote Authentication Dial In User Service (RADIUS) server, để quản lý việc xác thực 802.1X của người dùng.

Trong bài này chúng tôi sẽ chia sẻ một số thông tin và mẹo nhằm giúp các bạn hiểu, cài đặt và quản lý bảo mật không dây Enterprise trong doanh nghiệp nhỏ - thậm chí điều hành mạng non-domain không cần Windows Server.

Các ưu điểm của chế độ Enterprise

Chế độ Enterprise cho phép người dùng đăng nhập vào mạng không dây bằng tên và mật khẩu hay chứng chỉ số. Cả hai kiểu chứng chỉ đều có thể được thay đổi hoặc thu hồi ở bất cứ thời điểm nào trên máy chủ khi thiết bị không dây bị mất hoặc bị đánh cắp. Ngược lại khi sử dụng chế độ Personal, mật khẩu cần phải thay đổi một cách thủ công trên tất cả các AP và thiết bị không dây.

Do chế độ Enterprise cung cấp cho người dùng một khóa mã hóa động và duy nhất nên nó có thể ngăn chặn việc xem trộm thông tin giữa các người dùng trong mạng. Khi sử dụng chế độ Personal, người dùng kết nối thành công có thể thấy lưu lượng của người dùng khác – có thể là mật khẩu, email, hay các dữ liệu nhạy cảm khác.

Khóa động giúp tăng cường sức mạnh cho mã hóa WPA (TKIP) và WPA2 (AES). Còn chế độ Personal dễ bị tiết lộ khóa hơn đối với các tấn công từ điển brute-force. Điều này lý giải tạo sao khi sử dụng chế độ Personal thì việc tạo mật khẩu dài và phức tạp là điều rất quan trọng.

Các tùy chọn máy chủ

Nếu doanh nghiệp nhỏ có Windows Server, bạn có thể sử dụng tính năng Internet Authenticate Service (IAS) hoặc Network Policy Server (NPS) cho RADIUS server.

Mặc dù vậy còn có nhiều tùy chọn khác, một số phù hợp với việc thiếu domain:


  • Mua và sử dụng các AP có máy chủ RADIUS đi kèm. Ví dụ như HP ProCurve 530 và ZyXEL NWA-3500 hoặc NWA3166. Nếu là một thiết lập không dây đơn giản, bạn có thể chỉ cần sử dụng một máy chủ và nhiều AP rẻ tiền để tăng độ bao phủ.

  • Tạo router/gateway riêng với RADIUS server đi kèm, chẳng hạn như RouterOShoặc Zeroshell. Vấn đề này thường bao gồm việc cài đặt phần mềm vào máy chủ. Với các mạng ít quan trọng và nhỏ hơn, bạn có thể tái sử dụng các máy tính cũ cho việc này.

  • Sử dụng dịch vụ, chẳng hạn như AuthenticateMyWiFi, để tiết kiệm thời gian, kinh phí và các kiến thức cần thiết trong thiết lập máy chủ. Nó cũng cung cấp sự hỗ trợ cấu hình máy khách và bảo đảm triển khai dễ dàng hơn cơ chế bảo mật doanh nghiệp ở nhiều vị trí.

  • Sử dụng máy chủ miễn phí như TekRADIUS.

  • Sử dụng máy chủ mã nguồn mở và miễn phí như FreeRADIUS, sử dụng các file văn bản thuần túy cho việc cấu hình và quản trị. Chủ yếu cho các máy tính Linux/Unix nhưng cũng có thể chạy trên Windows.

  • Mua và sử dụng phần mềm máy chủ RADIUS như Elektron ($750) cho Windows hoặc Mac OS X và ClearBox ($599) cho Windows.


Cấu hình máy khách

Ngoài việc điều hành máy chủ RADIUS, chế độ Enterprise còn yêu cầu một cấu hình máy khách phức tạp hơn trên các máy tính và thiết bị không dây của người dùng. Chế độ Personal chỉ yêu cầu nhập mật khẩu khi được nhắc nhở và có thể được thực hiện bởi người dùng. Tuy nhiên với chế độ Enterprise, bạn cần phải cài đặt CA vào các máy khách (cộng với các chứng chỉ cho người dùng nếu sử dụng EAP-TLS) và sau đó cấu hình thủ công thiết lập bảo mật không dây và xác thực 802.1X. Yêu cầu này rất có ích cho các nhân viên CNTT trong việc cài đặt và khắc phục sự cố cấu hình máy khách hoặc sử dụng tiện ích triển khai để trợ giúp.

Nếu sử dụng Windows Server, bạn có thể phân bố các chứng chỉ và cấu hình thiết lập từ xa và tập trung bằng cách sử dụng Group Policy, tối thiểu là các máy tính Windows được join vào miền.

Với các mạng non-domain, bạn có thể sử dụng tiện ích miễn phí SU1X 802.1X hay các sản phẩm thương mại như XpressConnectQuick1X. Những tiện ích này sẽ cho phép chỉ định hoặc capture các thiết lập bảo mật và xác thực cũng như tạo chương trình cài đặt khách. Người dùng (thậm chí cả nhân viên CNTT) có thể thực thi chương trình, tự động hóa cấu hình của máy tính. Họ cũng có thể trợ giúp phân phối chứng chỉ CA của máy chủ RADIUS. Một số tiện ích còn có thể thực hiện kiểm tra và những thay đổi cấu hình không dây để hỗ trợ việc triển khai, ví dụ như việc gỡ bỏ profile cho các SSID đang tồn tại và thiết lập sự ưu tiên cho profile.

Toàn bộ các bước

Để trợ giúp tốt hơn trong việc hiểu quá trình thiết lập WPA/WPA2-Enterprise và 802.1X, chúng tôi liệt kê thêm toàn bộ các bước cơ bản trong quá trình thiết lập:


  1. Chọn, cài đặt và cấu hình máy chủ RADIUS hoặc sử dụng dịch vụ.

  2. Tạo một CA để có thể phát hành và cài đặt chứng chỉ số trên máy chủ RADIUS, chiêu thức này có thể được thực hiện như một phần của cài đặt và cấu hình máy chủ RADIUS. Một cách làm khác là bạn có thể mua chứng chỉ số từ CA công như GoDaddy hoặc Verisign để không phải cài đặt chứng chỉ máy chủ trên tất cả máy khách. Nếu sử dụng EAP-TLS, bạn cũng phải tạo các chứng chỉ số cho mỗi người dùng.

  3. Trên máy chủ, định cư cơ sở dữ liệu máy khách RADIUS với địa chỉ IP và bí mật chia sẻ cho mỗi AP.

  4. Trên máy chủ, định cư dữ liệu người dùng bằng tên và mật khẩu cho mỗi người dùng.

  5. Trên mỗi AP, cấu hình bảo mật WPA/WPA2-Enterprise và nhập địa chỉ máy IP của máy chủ RADIUS và bí mật chia sẻ đã được tạo cho AP cụ thể đó.

  6. Trên mỗi máy tính và thiết bị không dây, cấu hình bảo mật WPA/WPA2-Enterprise và cấu hình các thiết lập xác thực 802.1X.


Văn Linh (Theo Windowsnetworking)
      
North
North Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 495

Danh vọng : 976

Uy tín : 3

Cách thiết lập một RADIUS Server bên trong với AP của ZyXEL

Các doanh nghiệp nhỏ có thể tiết kiệm được chi phí và tăng cường độ bảo mật bằng cách sử dụng điểm truy cập có một RADIUS server đi kèm. Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách thiết lập một RADIUS server qua ZyXEL NWA-3160.

Chuyển sang mã hóa WPA/WPA2-Enterprise Zyxel_10

Trong hướng dẫn gồm có hai phần này, chúng tôi sẽ giới thiệu cho các bạn từng bước trong quá trình thiết lập một RADIUS server bên trong một AP. Trong loạt bài này, chúng tôi sử dụng AP NWA-3160 của ZyXEL. Ưu điểm của giải pháp này là tính đơn giản và tiết kiệm. Bên cạnh đó dù đã có một mạng không dây đang tồn tại, bạn vẫn có thể bổ sung thêm NWA-3160 (hoặc một AP tương tự khác) và sử dụng RADIUS server của nó cho mạng, kích hoạt thẩm định 802.1x, mã hóa WPA-Enterprise. Nói theo cách khác, một NWA-3160 có thể phục vụ như một RADIUS server cho tất cả các AP khác trên mạng.

Nếu mạng của bạn là một WLAN cơ bản – dựa trên một Router không dây - NWA-3160 cần phải được kết nối vào Router thông qua một trong các cổng Ethernet phía sau. Sau đó bạn mới có thể thực hiện theo các bước trong hướng dẫn này. Với các mạng Wi-Fi lớn hơn, AP của ZyXEL có thể được bổ sung ở bất cứ chỗ nào cùng với chuỗi các AP đang tồn tại. Các AP khác trên mạng sau đó sẽ được cấu hình để có thể sử dụng RADIUS server bên trong của NW-3160. Nếu hiện đang trong quá trình thiết kế một mạng Wi-Fi nâng cao thì NWA-3160 có thể được chọn như một mô hình cho tất cả các AP của bạn.

Trong phần 1 của loạt bài này, chúng tôi sẽ giới thiệu cách thiết lập sao cho NWA-3160 có thể truyền thông với mạng đang tồn tại, bật RADIUS server bên trong và tạo chứng chỉ số cho máy chủ và máy khách. Trong phần 2 sẽ giới thiệu các bước thiết lập các AP và chuẩn bị các máy khách để kết nối.

Cấu hình các thiết lập cơ bản

Trước khi bắt đầu cấu hình RADIUS server bên trong, chúng ta cần đặt các thiết lập LAN cơ bản để AP trở thành một phần của mạng đang tồn tại. Đầu tiên, hãy cắm AP vào ổ cắm điện và kết nối không dây từ máy tính đến AP. Do AP không thể cung cấp địa chỉ IP cho máy tính (vì nó không có DHCP server) và AP không được thiết lập để truyền thông với Router nên địa chỉ IP sẽ không được cấp cho adapter mạng của máy tính.

Lúc này, chúng ta sẽ cấu hình adapter mạng của máy tính bằng địa chỉ IP tĩnh và subnet mask bên trong subnet mặc định của AP giống như vậy. Cho ví dụ, địa chỉ IP 192.168.1.3 và subnet mask 255.255.255.0 sẽ làm việc cho NWA-3160, xem thể hiện trong hình 1.

Chuyển sang mã hóa WPA/WPA2-Enterprise RADIUS1
Hình 1

Truy cập vào tiện ích cấu hình web bằng cách nhập vào địa chỉ IP mặc định của AP (192.168.1.2 cho NWA-3160) vào trình duyệt web và sử dụng mật khẩu mặc định (1234 cho NWA-3160) để đăng nhập. Sau đó hãy vào phần IP và thay đổi các thiết lập IP mặc định của AP (xem trong hình 2) tương ứng với mạng đang tồn tại của bạn.

Chuyển sang mã hóa WPA/WPA2-Enterprise RADIUS2
Hình 2

Nếu địa chỉ IP của Router trên mạng đang tồn tại là 192.168.1.1, hãy để mặc địa chỉ IP và subnet mask mặc định đó của AP, tuy nhiên bạn cần nhập vào địa chỉ IP của Router cho giá trị IP của gateway. Lưu ý rằng, các địa chỉ IP mang tính duy nhất. Chính vì vậy, nếu thiết lập nhiều AP, các địa chỉ sau có thể được thiết lập cho các AP khác: 192.168.1.2, 192.168.1.3, 192.168.1.4, 192.168.1.5,… Nếu địa chỉ IP của Router là 192.168.0.1, các địa chỉ sau sẽ làm việc cho các AP: 192.168.0.2, 192.168.0.3, 192.168.0.4,… Trong hầu hết các trường hợp, subnet mask 255.255.255.0 sẽ làm việc với bất cứ địa chỉ IP của Router nào. Nhớ rằng, địa chỉ IP của gateway là địa chỉ của Router trên mạng.

Sau khi các thiết lập IP thích hợp đã được đặt cho AP, các máy tính đang kết nối vào AP mới sẽ được trao các địa chỉ IP một cách tự động.

Để kết thúc cài đặt cơ bản của AP, hãy tìm một điểm thích hợp cho AP và kết nối nó vào mạng đang tồn tại (một router hoặc switch) thông qua cáp Ethernet.

Kích hoạt RADIUS server bên trong

Sau khi cấu hình AP làm việc với mạng đang tồn tại, bạn hãy truy cập vào các thiết lập cho RADIUS server bên trong bằng cách kích vào liên kết AUTH. SERVER từ màn hình cấu hình web. Bảo đảm hộp kiểm Active cần được đánh dấu (xem trong hình 3), đây là hộp kiểm sẽ kích hoạt máy chủ.

Chuyển sang mã hóa WPA/WPA2-Enterprise RADIUS3
Hình 3

Tiếp đến, kích tab Trusted AP và nhập vào các địa chỉ IP của tất cả các AP trong mạng, mỗi một địa chỉ có kèm theo một shared secret riêng. Hình 4 thể hiện một ví dụ nhập đó. Bạn không được quên kích hộp kiểm Active cho mỗi một entry AP.

Chuyển sang mã hóa WPA/WPA2-Enterprise RADIUS4
Hình 4

Mẹo: Khi tạo các shared secret cho các AP, hãy chọn một mật khẩu mạnh, số lượng có thể lên đến 31 ký tự vừa chữ vừa số. Về sau các mật khẩu này sẽ được nhập vào các AP và để mã hóa mạng; chính vì thế mà bạn cần giữ một bản copy của chúng ở một địa điểm an toàn nào đó. Cũng tương tự với các mật khẩu của tài khoản, chiều dài có thể lên đến 14 ký tự; sử dụng các mật khẩu mạnh và giữ chúng một cách an toàn.

Tiếp đến, chọn tab Trusted Users và tạo một user name và password cho người sẽ truy cập vào mạng, cần chọn Active cho mỗi một entry. Có sự kết hợp giữa tên và mật khẩu mà người dùng sẽ sử dụng khi kết nối vào mạng không dây.

Cấu hình và phân phối một chứng chỉ số

Setup của chúng ta được thiết kế cần phải làm cho các máy khách không dây sẽ phân biệt được RADIUS server trước khi một kết nối được thiết lập. Điều này sẽ ngăn chặn được khả năng ai đó thiết lập một AP giả mạo nhằm đánh cắp username và password mà người dùng sử dụng để kết nối. Các chứng chỉ số được sử dụng cho quá trình thẩm định này. Chứng chỉ load trên RADIUS server phải được cấp từ một nơi có thẩm quyền về chứng chỉ (CA) mà các máy tính tin cậy, ví dụ như VeriSign. Khi một chứng chỉ tự ký (self-signed) được sử dụng thay cho (chẳng hạn như chứng chỉ mà NWA-3160 tạo) người dùng sẽ phải tự cài đặt chứng chỉ trên máy tính để quá trình thẩm định làm việc. Sở dĩ xảy ra điều này là vì chứng chỉ không được cấp từ CA mà các máy tính tin tưởng tự động.

Chúng ta có thể load một chứng chỉ trên RADIUS server của AP bằng cách sử dụng tiện ích built-in của NWA-3160, đây là tiện ích để tạo chứng chỉ tự ký, hoặc bằng cách upload một chứng chỉ được mua từ một CA thứ ba. Nếu sử dụng tiện ích built-in, hãy thay thế chứng chỉ nhà máy bằng một chứng chỉ duy nhất. Chứng chỉ này (được dựa trên địa chỉ MAC của NWA-3160) có thể được tạo sau khi đăng nhập vào AP lần đầu, trên trang Replace Factory Default Certificate. Nếu bước này bị bỏ qua, bạn sẽ có một tùy chọn khác là vào phần CERTIFICATES của màn hình cấu hình của AP và kích nút Replace. Để upload một chứng chỉ của nhóm thứ ba, kích nút Import trong phần CERTIFICATES.

Nếu sử dụng chứng chỉ tự ký, máy tính Windows sử dụng mạng WPA-Enterprise sẽ cần phải có chứng chỉ số như vậy được cài đặt. Nếu một chứng chỉ được mua từ một CA mà Windows có thể tự động nhận diện thì điều này là không cần thiết. Ngoài ra, việc cài đặt chứng chỉ (tự ký hay không) trên các máy tính Mac OS X cũng không được yêu cầu.

Bước đầu tiên để lấy chứng chỉ tự gán trên máy tính Windows là export một chứng chỉ máy chủ vào file .crt. Trên phần CERTIFICATES của màn hình cấu hình của AP, kích nút Details, tìm và kích nút Export. Trong hộp Save As, duyệt đến địa điểm bạn cần lưu nó, bổ sung phần mở rộng .crt và tên file và kích Save.

Để cài đặt chứng chỉ trên máy tính Windows, kích phải vào file .crt và chọn Install Certificate. Trên Certificate Import Wizard xuất hiện, kích Next. Sau đó chọn tùy chọn Place all certificates in the following store, kích Browse, chọn Trusted Root Certification Authorities, và kích OK. Sau đó kích Next để chuyển sang màn hình tiếp theo và kích Finish ở màn hình đó.

Trong phần trên chúng tôi đã giới thiệu cho các bạn về cấu hình IP ban đầu để một AP có thể gia nhập vào mạng. Thêm vào đó chúng ta đã kích hoạt máy chủ RADIUS bên trong và đã nhập các thông tin của người dùng và AP, đã tạo một chứng chỉ số tự ký (self-signed) mà chúng ta đã cài đặt trên máy chủ và các máy tính của mình. Cho đến đây, phần cài đặt phía máy chủ được hoàn tất, còn trong phần tiếp theo chúng ta sẽ cấu hình các AP và PC bằng các thiết lập thích hợp. Mục tiêu của chúng tôi là cung cấp sự mã hóa WPA mức doanh nghiệp với thẩm định 802.1x để các bạn có được một mạng không dây an toàn nhưng giảm được chi phí và thời gian thiết lập.

Kích hoạt WPA/802.1x trên các AP

Bước đầu tiên mà chúng ta cần thực hiện trong phần này là cấu hình các AP (Router không dây nếu tồn tại trên mạng) để sử dụng phương pháp mã hóa WPA Enterprise và đặt các thiết lập 802.1x/RADIUS. Với các AP tiên tiến hơn, chẳng hạn như NWA-3160, bạn cần sử dụng đến profile của chúng. Các thiết lập bảo mật và RADIUS sẽ được sử dụng cho từng profile. Các AP và các Router không dây cơ bản sẽ có tất cả các thiết lập mã hóa và 802.1x trên tab Wireless hoặc Wireless Security, xem minh họa trong hình 5 bên dưới.

Chuyển sang mã hóa WPA/WPA2-Enterprise RADIUS1
Hình 5

Trong phần dưới đây, chúng tôi sẽ giới thiệu chính xác cách cấu hình AP ZyXEL, đây là những hướng dẫn có bản cần phải thực hiện khi thiết lập bất cứ AP hoặc Router không dây nào:


  • Enable WPA encryption: Chọn WPA-Enterprise hoặc WPA2-Enterprise (trong một số trường hợp chỉ được viết dưới tên WPA hoặc WPA2), phụ thuộc vào phiên bản được hỗ trợ bởi các máy khách không dây. Một số AP hỗ trợ chế độ phức hợp, khi cả hai phiên bản WPA đều có thể được sử dụng một cách đồng thời.

  • Choose the algorithm or cipher type: Chọn TKIP nếu sử dụng WPA, AES nếu sử dụng WPA2, hoặc cả hai (Auto) nếu sử dụng chế độ WPA-mixed.

  • Enter the RADIUS server IP address: Đây là địa chỉ IP của NWA-3160 đang host máy chủ RADIUS bên trong của nó.

  • Enter the RADIUS server port: Nếu cổng máy chủ RADIUS bên trong của NWA-3160 không thay đổi so với mặc định, hãy nhập vào cổng 1812; bằng không hãy nhập vào cổng tùy chọn.

  • Enter the shared secret: Nhập vào mật khẩu được tạo cho AP cụ thể, định nghĩa khi AP tin cậy được nhập vào trong ZyXEL AP.


Để cấu hình WPA-Enterprise cho NWA-3160 nhằm sử dụng máy chủ bên trong thẩm định, bạn hãy thực hiện theo các bước dưới đây:


  1. Đăng nhập vào tiện ích cấu hình web, kích phần Wireless và chọn tab RADIUS.

  2. Với Primary RADIUS Option, hãy chọn nút Internal (xem trong hình 6 bên dưới) và kích Apply.

    Chuyển sang mã hóa WPA/WPA2-Enterprise RADIUS2
    Hình 6


Nếu có nhiều NWA-3160 trên mạng, hãy thực hiện theo các bước dưới đây để sử dụng NWA-3160:


  1. Đăng nhập vào tiện ích cấu hình web, kích phần Wireless và chọn tab RADIUS.

  2. Với Primary RADIUS Option, hãy chọn nút External và đánh dấu hộp kiểmActive.

  3. Nhập vào địa chỉ IP của ZyXEL AP đang hosting máy chủ RADIUS, nhập vào cổng máy chủ (mặc định là 1812), nhập vào Shared Secret cho AP cụ thể này và kích Apply. Xem ví dụ trong hình 7 bên dưới.

    Chuyển sang mã hóa WPA/WPA2-Enterprise RADIUS3
    Hình 7

  4. Chọn tab Security.

  5. Chọn profile security01 và kích Edit.

  6. Với Security Mode, chọn WPA và kích Apply. AP này sẽ được thiết lập để sử dụng máy chủ RAIDUS bên trong của ZyXEL AP khác.


Cấu hình máy khách không dây với các thiết lập WPA/802.1x

Khi tất cả các thành phần cơ sở hạ tầng mạng được đặt bằng các thiết lập thẩm định và mã hóa thích hợp, bạn có thể đi cấu hình các máy khách không dây. Trong Windows, công việc này yêu cầu các quản trị viên hoặc người dùng phải tự tạo một profile (hoặc một entry mạng ưa thích) cho mạng, để đặt các thiết lập 802.1x. Sau cấu hình ban đầu này, người dùng có thể kết nối vào mạng giống như bất cứ mạng không dây nào, nhập vào tên và mật khẩu của nó để có thể truy cập mạng.

Thực hiện theo các bước sau để cấu hình các thiết lập thích hợp cho Windows XP:


  • Kích đúp vào biểu tượng mạng không dây trong khay hệ thống. Nếu biểu tượng này không hiện hữu, bạn có thể kích Start, Network Connections, kích chuột phải vào kết nối không dây và chọn Properties.

  • Trên cửa sổ Local Area Connection Status, kích nút Properties.

  • Trên cửa sổ Local Area Connection Properties, chọn tab Wireless Networks.

  • Nếu một entry nào đó đã tồn tại hoặc đã có SSID của mạng không dây WPA, bạn hãy chọn nó và kích Properties. Nếu không có entry nào tồn tại trước, kích Add.

  • Trên tab Association trong cửa sổ Wireless Network Properties:


    • Nhập vào tên mạng hoặc SSID mong muốn, nếu add vào một entry mới.

    • Chọn WPA hoặc WPA2 cho trường Network Authentication, dựa vào phiên bản được thiết lập trên máy chủ RADIUS.

    • Chọn TKIP cho trường Data Encryption nếu sử dụng WPA hoặc AES nếu sử dụng WPA2.


  • Trong tab Authentication (xem trong hình 8 ):


    • Chọn Ensure Protected EAP (PEAP) cho EAP Type.
    • Hủy chọn cả hai hộp kiểm khác, trừ RADIUS server được thiết lập cho các tình huống đặc biệt nào.

      Chuyển sang mã hóa WPA/WPA2-Enterprise RADIUS4
      Hình 8


  • Trong tab Authentication, kích nút Properties và thực hiện theo các bước dưới đây trên cửa sổ Protected EAP Properties (xem trong hình 9):

    • Chọn hộp kiểm đâu tiên, Validate server certificate.

    • Hủy chọn hộp kiểm thứ hai, Connect to these servers.

    • Chọn CA certificate được cài đặt trên máy chủ RADIUS bên trong của AP từ danh sách. Nếu chứng chỉ tự ký của AP đã được sử dụng, nó sẽ được bắt đầu với NWA-3160, sau đó là địa chỉ MAC của AP.

    • Chọn cho “Secured password (EAP-MSCHAP v2)” cho trường Select Authentication Method và kích nút Configure. Trong hộp thoại xuất hiện, hãy hủy chọn tùy chọn có tên Automatically use my Windows logon name and password (and domain if any), và kích OK. Hình 9 hiển thị cả hai cửa sổ này.

      Chuyển sang mã hóa WPA/WPA2-Enterprise RADIUS5
      Hình 9


  • Kích OK trên mỗi cửa sổ để lưu các thiết lập mạng.


Việc cấu hình mạng trong Windows Vista cũng gần tương tự như vậy, đây là các bước thực hiện:


  • Kích phải vào biểu tượng mạng trong khay hệ thống và chọn Network and Sharing Center.

  • Trong cửa sổ Network and Sharing Center, kích liên kết Manage wireless networks trong phần panel bên trái.

  • Nếu có một entry mạng hoặc SSID của mạng không dây WPA tồn tại trước, kích đúp nó và bỏ qua bước 6. Nếu không có entry nào tồn tại trước, hãy kích Add và tiến hành các bước như bình thường.

  • Nếu add vào một entry mới, hãy kích Manually để tạo một profile mạng trong cửa sổ xuất hiện sau đó, nhập vào các thiết lập cho mạng và kích Next.

  • Trong cửa sổ Successfully Added, kích các Change connection settings.

  • Trong cửa sổ Wireless Network Properties, chọn tab Security và thực hiện theo các bước dưới đây:


    • Bảo đảm các kiểu mã hóa và bảo mật được thiết lập đúng, dựa vào phiên bản được thiết lập trên máy chủ RADIUS.

    • Hủy chọn hoặc chọn hộp chọn như mong muốn để lưu tên người dùng và mật khẩu khi kết nối.

    • Chọn Ensure Protected EAP (PEAP) cho phương pháp thẩm định mạng.


  • Kích nút Settings và trên cửa sổ Protected EAP Properties, thực hiện theo các bước sau:


    • Chọn hộp kiểm đầu tiên, Validate server certificate.

    • Hủy chọn hộp kiểm thứ hai, Connect to these servers.

    • Chọn chứng chỉ CA được cài đặt trên máy chủ RADIUS từ trong danh sách. Nếu chứng chỉ tự ký của AP đã được sử dụng, nó sẽ bắt đầu với NWA-3160, sau đó là địa chỉ MAC của AP.

    • Chọn Secured password (EAP-MSCHAP v2) cho trường Select Authentication Method và kích nút Configure.

    • Với trường Select Authentication Method, hãy chọn Secured password (EAP-MSCHAP v2) và kích nút Configure. Trong hộp thoại xuất hiện, hãy hủy chọn tùy chọn có tên Automatically use my Windows logon name and password (and domain if any), và kích OK.


  • Kích OK trên mỗi cửa sổ để lưu các thiết lập mạng.


Kết nối đến mạng không dây WPA/802.1x

Sau khi cấu hình các thiết lập mạng trong Windows, chọn mạng từ danh sách các mạng không dây đang hiện hữu, giống như khi kết nối vào các mạng Wi-Fi khác. Một thông báo ở phần phía dưới góc phải của Windows sẽ xuất hiện để bạn nhập vào các tiêu chuẩn đăng nhập; kích vào thông báo đó. Trong hộp thoại Enter Credentials xuất hiện, hãy nhập vào tên người dùng và mật khẩu cho tài khoản được thiết lập trên máy chủ RADIUS bên trong của AP, để trống trường Logon Domain, sau đó nhấn Enter.

Kết luận

Nếu tất cả đều diễn ra như dự định, các máy tính tính của bạn sẽ có thể kết nối vào mạng 802.1x hay WPA ngay lúc này. Mặc dù những kẻ truy cập trộm sẽ không thể crack sự mã hóa này nhưng bạn cần nhớ phải bảo vệ an toàn username và password và nên thay đổi các chứng chỉ đăng nhập một cách thường xuyên để tránh tình trạng bị tiết lộ.

Văn Linh (Theo Wi-fiplanet)
      
North
North Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 495

Danh vọng : 976

Uy tín : 3

Hướng dẫn sử dụng FreeRADIUS để thẩm định Wi-Fi

Chuyển sang mã hóa WPA/WPA2-Enterprise 543px-10

Các mạng không dây cho các doanh nghiệp, dù lớn hay nhỏ, luôn phải được bảo vệ bằng chế độ enterprise của Wi-Fi Protected Access (WPA hoặc WPA2). Đây là chế độ cung cấp khả năng mã hóa mạnh hơn để bảo vệ mạng của bạn chống lại các tấn công Wi-Fi. Nó cũng có thể ẩn các khóa mã hóa đối với người dùng của bạn, chính vì vậy người dùng sẽ khó khăn hơn trong việc thỏa hiệp, không giống như chế độ (PSK) (personal hoặc pre-shared key) của WPA hoặc WPA2, chế độ phân phối các khóa mã hóa dễ bị tấn công, vì người dùng có thể tiết lộ các khóa của họ cho các chương trình mã độc mặc dù không chủ tâm.

Mặc dù vậy phiên bản enterprise lại yêu cầu bạn sử dụng một máy chủ RADIUS. Máy chủ này sẽ giúp người dùng tự thẩm định họ để có thể truy cập vào mạng. Thay vì phải nhập vào khóa mã hóa, người dùng đăng nhập vào mạng bằng username và password. Các khóa thực sẽ được trao đổi mà người dùng không hề biết và khóa của người dùng là khác nhau cũng như được cập nhật thường xuyên.

Chúng ta có thể sử dụng máy chủ FreeRADIUS làm máy chủ thẩm định, đây là một dự án mã nguồn mở, được phát triển trong GNU General Public License Version 2 (GPLv2). Nó quả thực là một máy chủ RADIUS đã được sử dụng rộng khắp trên toàn thế giới. Ngoài việc thực hiện thẩm định 802.1X/PEAP, thẩm định mà chúng ta sẽ thiết lập, máy chủ này còn hỗ trợ nhiều kiểu thẩm định khác đối với một loạt kiểu mạng khác nhau. Nó cũng có khả năng tự động chuyển đổi dự phòng, cân bằng tải và hỗ trợ nhiều cơ sở dữ liệu backend.

Trước tiên bạn cần cài đặt một phân phối Linux. Hướng dẫn này được dựa trên hệ điều hành CentOS, một hệ điều hành mã nguồn mở miễn phí. Bên cạnh đó các hệ điều hành Mac OS X và Windows cũng được hỗ trợ, cũng như các phân phối Linux.

Chuyển sang mã hóa WPA/WPA2-Enterprise 10000010

Mẹo: Nếu không thực hiện một cài đặt mới mặc định của CentOS 5.3, bạn cần bảo đảm đã cài đặt gói OpenSSL trước khi thực hiện.

Bạn có thể cài đặt FreeRADIUS trên bất cứ PC cũ nào. Chỉ cần bảo đảm rằng máy tính FreeRADIUS có một kết nối chạy dây với mạng. Thêm vào đó cũng bảo đảm rằng nó có một địa chỉ IP tĩnh chứ không phải là một địa chỉ động. Gán địa chỉ này cho adapter mạng trong CentOS hoặc dự trữ một địa chỉ khác thông qua các thiết lập DHCP của router.

Lưu ý: Hướng dẫn cài đặt được dựa tên phiên bản 5.3 của hệ điều hành CentOS và phiên bản FreeRADIUS 2.1.6. Lúc này các gói phần mềm FreeRADIUS hiện hành không được cung cấp thông qua địa chỉ lưu trữ CentOS thông thường mà chỉ có các gói phần mềm phiên bản cũ 1.x.x. Chính vì vậy chúng ta sẽ sử dụng một location của nhóm thứ ba. Mặc dù vậy sau này bạn vẫn có thể cài đặt phiên bản hiện hành (2.x.x) của FreeRADIUS bằng cách sử dụng các gói phần mềm thông qua Package Manager hoặc một cách nào đó.


  • Sử dụng CentOS, download file freeradius2.repo và lưu nó vào desktop.

  • Mở một Terminal và đánh "su", nhập vào mật khẩu gốc của bạn. Sau đó đánh "cp /home/yourusername/Desktop/freeradius2.repo /etc/yum.repos.d".

  • Tiếp tục đánh "yum install freeradius2", và khi được nhắc nhở, nhập "y" để bắt đầu quá trình cài đặt.

  • Nếu cần đến các dependency, hãy chọn để cài đặt chúng.


Mẹo: Nếu bạn gặp lỗi "Package is not signed", hãy đánh "gedit" và sử dụng trình soạn thảo văn bản (text editor) để thay đổi "gpgcheck=1" thành "gpgcheck=0" trong file /etc/yum.conf, sau đó lưu và đóng trình soạn thảo văn bản. Sau khi cài đặt hoàn tất, đảo ngược các thiết lập này. Hãy đánh vào dòng cài đặt lần nữa trong cửa sổ terminal đang tồn tại.

Bạn có thể cài đặt các gói phần mềm FreeRADIUS bổ sung, chẳng hạn như gói phần mềm hỗ trợ cho cơ sở dữ liệu backend. Để thấy được danh sách các gói, hãy đánh "yum info freeradius2*". Trong hướng dẫn này, chúng tôi chỉ sử dụng MySQL, vì vậy chúng tôi cài đặt nó bằng câu lệnh "yum install freeradius2-mysql". Tiếp đến, chọn cài đặt các dependency bằng cách đánh “y”.

Khởi động cấu hình file

Nếu bạn chưa làm việc với các máy chủ Unix/Linux hoặc các ứng dụng dòng lệnh thì FreeRADIUS có thể khá khó hiểu đối với bạn lúc này. Mặc dù có một vài tiện ích GUI có sẵn nhưng nó thường được cấu hình thông qua các file văn bản cấu hình.

Việc cài đặt FreeRADIUS rất đơn giản. Các file cấu hình mặc định được cấu hình trước để chạy hầu hết các giao thức thẩm định mà không cần nhiều hay bất cứ thay đổi nào.

Không thay đổi hoặc xóa các thiết lập mà bạn không hiểu những gì về nó và những gì nó thực hiện. Một lỗi đơn giản có thể phá hỏng cấu hình và có thể tốn nhiều thời gian để khắc phục sự cố. Nếu bạn có bất cứ thay đổi nào bên ngoài hướng dẫn này, hãy thực hiện từng bước một. Thay đổi một thiết lập hoặc một phần chứa các thiết lập, sau đó test xem điều gì đã xảy ra với thay đổi của bạn.

Tạo các chứng chỉ tự ký cho PEAP

Mặc dù các chứng chỉ SSL được yêu cầu cho PEAP nhưng TLS hiện được tạo một cách tự động bởi FreeRADIUS, vì vậy bạn vẫn phải tùy chỉnh các thuộc tính nhận dạng và mật khẩu. Thực hiện điều này trước khi chạy máy chủ lần đầu và đây là cách thực hiện những thay đổi.


  • Mở một terminal, đánh "su" cho root mode, và chạy "gedit" để mở trình soạn thảo văn bản. Sau đó mở các file ca, clientserver cnf từ /etc/raddb/certs. Trong mỗi một file cấu hình, hãy chỉnh sửa như sau:


    • Thay đổi "default_days" trong phần CA Default thành con số lớn hơn một năm, vì vậy bạn không phải tạo và nâng cấp chứng chỉ ngay.

    • Thay đổi "input_password" và "output_password" trong phần Req để các chứng chỉ được bảo vệ thay cho mật khẩu mặc định.

    • Thay đổi 6 giá trị cho các trường nhận dạng trong các phần Certificate Authority, ClientServer.


  • Lưu các file nhưng không đóng trình soạn thảo lúc này.

  • Bạn cần nâng cấp mật khẩu trong file etc/raddb/eap.conf bằng cách thay đổi giá trị "private_key_password" trong phần TLS.

  • Lưu file và đóng trình soạn thảo.


Trong root terminal đang tồn tại, đánh "/usr/sbin/radiusd -X". Lệnh này sẽ tạo các chứng chỉ tự ký của bạn và bắt đầu máy chủ trong chế độ gỡ rối để bạn có thể thấy những gì đang xảy ra. Nếu mọi thứ diễn ra như kế hoạch thì bạn sẽ thấy dòng chữ "Ready to process requests" cuối cùng.

Mặc dù máy chủ hiện đã được cài đặt và có thể chạy, nhưng các phần tiếp theo sẽ hướng dẫn bạn cách cấu hình một vài thiết lập khác trước khi sẵn sàng thẩm định người dùng Wi-Fi của bạn.

Cài đặt các thiết lập EAP

Có nhiều kiểu EAP, vì vậy bạn phải chỉ định kiểu nào mình muốn sử dụng. Trong hướng dẫn này chúng ta sẽ thảo luận về việc sử dụng PEAP, đây là một kiểu EAP không yêu cầu bạn tạo các chứng chỉ bảo mật cho mỗi người dùng. Họ kết nối và mạng bằng cách sử dụng username và password của họ.

Khi bạn sẵn sàng, hãy tạo một thay đổi nhỏ đối với file cấu hình EAP:


  • Mở Terminal, đánh "su" cho root mode, và chạy "gedit" để mở Text Editor. Sau đó mở etc/raddb/eap.conf.

  • Trong phần đầu tiên của phần EAP, thay đổi "default_eap_type" từ "md5" thành "peap".

  • Lưu và đóng file, tuy nhiên vẫn để mở Text Editor.


Tạo tài khoản người dùng

Tiếp đến bạn cần tạo các username và password mà người dùng sẽ nhập vào khi kết nối đến mạng Wi-Fi. Đầu tiên chúng ta sẽ tạo một tài khoản người dùng trong file cấu hình để test máy chủ. Sau đó chúng ta sẽ sử dụng cơ sở dữ liệu MySQL để lưu thông tin người dùng, đây là một giải pháp tuyệt vời nếu bạn có nhiều người dùng hoặc cần thay đổi các thông tin về mật khẩu của họ một cách thường xuyên.

Trong trình soạn thảo văn bản root đang tồn tại, mở etc/raddb/users. Sau đó đánh vào username, nhấn Tab và đánh Cleartext-Password := "thepassword".

Đây là một ví dụ:

egeier Cleartext-Password := "pass123"

Lưu và đóng file, tuy nhiên vẫn để mở trình soạn thảo.

Nhập vào các thông tin chi tiết của AP (client)

Lúc này bạn phải nhập vào địa chỉ IP và bí mật đã chia sẻ (mật khẩu) của tối thiểu một AP không dây, thứ được gọi là client đối với FreeRADIUS. Tiếp đến bạn có thể lưu trữ các thông tin chi tiết của client trong một cơ sở dữ liệu, chẳng hạn như MySQL. Mặc dù vậy nếu bạn đang làm việc trong một mạng nhỏ, thì bạn có thể dễ dàng sử dụng phương pháp file văn bản.

Trên một trình soạn thảo văn bản root đang tồn tại, mở etc/raddb/clients.conf và nhập vào các thông tin chi tiết ở đâu đó cho mỗi một AP theo ví dụ dưới đây:

client 192.168.0.1 {
secret = testing123
shortname = private-network-1
}


Thay đổi địa chỉ IP, nhập vào bí mật duy nhất cho mỗi AP và có thể nhập cả tên mô tả. Sau đó không quên lưu file khi bạn đã thực hiện xong các thay đổi.

Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn cách mở tường lửa CentOS và cấu hình các điểm truy cập (AP). Sau đó sẽ là phân phối file CA đến tất cả các máy tính và cấu hình chúng với các thiết lập thẩm định và mã hóa. Cuối cùng là thiết lập SQL để bạn có thể lưu trữ các thông tin AP và thông tin người dùng trong một cơ sở dữ liệu thay vì các file văn bản.

Mở tường lửa

CentOS có tường lửa đính kèm được kích hoạt một cách mặc định. Để lưu lượng RADIUS đến được FreeRADIUS, bạn phải mở các cổng mà nó sử dụng. KíchSystem > Administration > Security Level and Firewall. Sau đó kích mũi tên để mở rộng phần Other Ports. Thêm các cổng UDP 1812 và 1813 sau đó kích Apply.

Khởi động lại máy chủ để load các thiết lập mới

Nếu bạn thực hiện những thay đổi về cấu hình trong khi FreeRADIUS đang hoạt động, khi đó bạn phải khởi động lại máy chủ để những thay đổi của bạn có hiệu lực. Để stop máy chủ, hãy vào cửa sổ terminal và nhấn Ctrl + C. Sau đó đánh '/usr/sbin/radiusd -X' lần nữa (hoặc nhấn phím mũi tên hướng lên) để bắt đầu quá trình khởi động lại. Nếu bạn đang mở một cửa sổ terminal mới, bạn phải đánh 'su'trước để chạy ở chế độ root.

Lúc này máy chủ sẽ chạy và chuẩn bị chấp nhận các yêu cầu thẩm định từ phía người dùng Wi-Fi.

Khi mạng mã hóa của bạn hoạt động, bạn có thể bỏ qua '–X' để bắt đầu FreeRADIUS mà không cần việc gỡ rối. Máy chủ sẽ làm việc trong chế độ background và bạn có thể tham chiếu đến các file bản ghi và việc giải thích dữ liệu.

Cấu hình các AP

Đây cũng là lúc bạn có thể cấu hình các AP. Sau khi thiết lập chúng để sử dụng mã hóa WPA (TKIP) hay WPA2 (AES) Enterprise, bạn phải nhập vào các thiết lập RADIUS. Những thiết lập này bao gồm địa chỉ IP của máy FreeRADIUS, cổng (1812), và những bí mật mà bạn đã định nghĩa cho AP nào đó. Hầu hết các AP đều hỗ trợ việc giải thích để lưu các thông tin session. Nếu bạn cần giải thích, bạn phải nhập vào các thông tin chi tiết tương tự của máy chủ với cổng 1813.

Cài đặt file CA trên tất cả các máy tính

Mặc dù giao thức thẩm định PEAP không yêu cầu các chứng chỉ máy khách, tuy nhiên bạn vẫn phải cài đặt một chứng chỉ cho Certificate Authority (CA) trên mỗi một máy tính. Điều này là vì chúng ta sẽ sử dụng chứng chỉ tự ký cho máy chủ thay cho việc mua một chứng chỉ đã ký từ một CA mà Windows có thể nhận diện, chẳng hạn như VeriSign hoặc GoDaddy.

Bạn cần copy file etc/raddb/certs/ca.dervào tất cả các máy tính. Bạn có thể copy nó vào ổ USB và thực hiện paste vào mỗi một máy tính. Để copy, bạn hãy mở một terminal mới và đánh "su" để vào chế độ root, hoặc sử dụng một chế độ đang tồn tại nào đó, và chạy một lệnh copy, chẳng hạn như "cp /etc/raddb/certs/ca.der /newlocation/certs".

Mẹo: Để tìm ra đường dẫn đến thiết bị, chẳng hạn như USB, kích Places >Computer, mở thiết bị và kích chuột phải vào bất cứ file nào trên thiết bị đó, sau đó chọn Properties và copy lấy giá trị Location.

Lúc này, trên mỗi máy tính Windows, kích chuột phải vào file chứng chỉ và chọnInstall Certificate. Sau đó đặt nó vào kho lưu trữ Trusted Root Certification Authorities. Trên hộp thoại xác nhận, chọn Yes để cài đặt.

Cấu hình các máy tính với các thiết lập thẩm định và mã hóa

Trên các mạng WEP và WPA/WPA2-personal, bạn chỉ chọn mạng và sẽ được nhắc nhở về key. Mặc dù việc kết nối đến các mạng mã hóa doanh nghiệp gặp nhiều phức tạp trong việc cấu hình hơn nhưng khi đã cấu hình, bạn có thể kết nối một cách đơn giản với mạng bằng cách nhập vào username và password, thậm chí bạn có thể lưu những thông tin này để không phải nhập nó nhiều lần.

Nếu chưa có một profile nào không tồn tại trong mạng, bạn cần tạo một profile mới. Sau đó cấu hình các thiết lập. Nhớ rằng, bạn đang sử dụng mã hóa WPA (TKIP) hoặc WPA2 (AES) Enterprise với thẩm định PEAP. Trong hộp thoại các thuộc tính của PEAP, bạn cần chọn để hợp lệ hóa chứng chỉ máy chủ và chọn chứng chỉ mình đã import. Thêm vào đó bạn có thể nhập địa chỉ IP của máy chủ để sử dụng khi hợp lệ hóa. Sau đó bảo đảm rằng bạn sử dụng phương pháp Password (EAP-MSCHAP v2). Kích nút Configure để bảo đảm thiết lập (Automatically use my Windows logon name and password) trên hộp thoại không được kiểm.

Cần lưu ý rằng, lần đầu bạn kết nối mạng, hộp thoại Validate Server Certificate sẽ xuất hiện, đôi khi nó có thể ẩn đằng sau các cửa sổ khác. Khi đó hãy kích Ok để chấp nhận chứng chỉ và tiếp tục kết nối.

Thiết lập SQL cho người dùng và tra cứu AP

Nếu bạn có một số lượng lớn người dùng và các AP, hoặc bạn thay đổi các thông tin chi tiết của họ hay của các AP một cách thường xuyên, khi đó bạn có thể sử dụng một cơ sở dữ liệu để lưu các thông tin thay cho các file văn bản. Bạn có thể cài đặt và cấu hình máy chủ của mình hoặc sử dụng một máy chủ được host trước, chẳng hạn từ một nhà cung cấp website. Bằng cách nào trong hai cách trên, bạn cũng phải cài đặt gói phần mềm FreeRADIUS MySQL (freeradius2-mysql).

Lúc này bạn cần load cấu trúc cơ sở dữ liệu mặc định vào máy chủ cơ sở dữ liệu. Nếu đang chạy máy chủ của bạn trong CentOS, bạn hãy chạy lệnh "mysql -uroot -prootpass radius < /etc/raddb/sql/mysql/schema.sql" từ một Terminal. Nếu sử dụng một máy chủ từ xa hoăc máy chủ được host từ một nhà cung cấp, khi đó bạn hãy chạy "gedit" với một root Terminal và sử dụng Text Editor để mởetc/raddb/sql/mysql/schema.sql. Sau đó copypaste các lệnh SQL vào máy chủ để chạy chúng.

Nếu bạn muốn sử dụng SQL cho các thông tin chi tiết của AP, hãy load fileetc/raddb/sql/mysql/nas.sql vào cơ sở dữ liệu của bạn.

Bạn cần chỉnh sửa các file cấu hình FreeRADIUS để mách bảo máy chủ sử dụng SQL. Từ root Text Editor,, mở etc/raddb/radiusd.conf và không comment dòng"$INCLUDE sql.conf". Mở etc/raddb/sites-enabled/inner-tunnel và không comment "sql" từ phần Authorize. Lúc này FreeRADIUS sẽ sử dụng các file và SQL.

Bạn cần cung cấp cho FreeRADIUS kết nối cơ sở dữ liệu và các thông tin chi tiết về đăng nhập. Từ trình soạn thảo gốc, mở etc/raddb/sql.conf. Sau đó bảo đảm chodatabase = 'mysql'. Nếu đang sử dụng một cơ sở dữ liệu từ xa hoặc một cơ sở dữ liệu được cấu hình sẵn, hãy nhập vào địa chỉ máy chủ. Bảo đảm bạn nhập vào Username và Password cho máy chủ của mình. Với giá trị radius_db value, nhập vào tên cơ sở dữ liệu. Nếu đang sử dụng SQL cho các thông tin chi tiết của AP, không comment "readclients = yes".

Cuối cùng, chèn các hàng vào bảng để định nghĩa các tài khoản người dùng. Định dạng tương tự như định dạng đối với file người dùng:

username attribute op value
egeier Cleartext-Password := pass123

Đây là một ví dụ về những gì bạn có thể chèn vào bảng cho các thông tin về AP nếu đã kích hoạt nó:

nasname shortname type secret
192.168.0.1 private-network-1 other  testing123

Khắc phục sự cố

Cần lưu ý rằng trong khi thiết lập máy chủ hoặc sau khi tạo những thay đổi, hãy sử dụng chế độ gỡ rối để thấy được hành động của máy chủ. Nếu bạn gặp phải các vấn đề về đăng nhập hoặc kết nối, hãy kiểm tra một cách cẩn thận và phần gỡ rối và phân tích những thay đổi được thực hiện gần đây.

Văn Linh (Theo Wi-Fiplanet)
      
North
North Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 495

Danh vọng : 976

Uy tín : 3

Bảo mật Wifi, chỉ WPA/WPA2-Enterprise chưa đủ...
   
Nếu tiến hành thực hiện một tìm kiếm về bảo mật Wi-Fi trên Google thì chắc chắn những gì bạn nhận được sẽ là: Không nên sử dụng WEP mà sử dụng WPA hoặc WPA2, vô hiệu hóa SSID broadcasting, thay đổi các thiết lập mặc định,…

Đây là những vấn đề rất cơ bản, trong bảo mật Wi-Fi. Tuy nhiên trong bài này chúng tôi sẽ bỏ qua những cánh thức cơ bản đó và giới thiệu cho các bạn những kỹ thuật nâng cao nhằm tăng độ bảo mật cho mạng không dây của mình.

1. Chuyển sang mã hóa doanh nghiệp – Enterprise

Nếu bạn đã tạo một khóa mã hóa WPA hoặc WPA2 ở bất cứ kiểu nào và phải nhập vào khóa này khi kết nối với mạng không dây thì bạn cũng mới chỉ sử dụng chế độ Personal hay Pre-shared key (PSK) của Wi-Fi Protected Access (WPA). Các mạng doanh nghiệp – dù to hoặc nhỏ – vẫn cần phải được bảo vệ với chế độ Enterprise, đây là chế độ có bổ sung thêm tính năng thẩm định 802.1X/EAP cho quá trình kết nối không dây. Thay vì nhập vào khóa mã hóa trên tất cả các máy tính, người dùng sẽ đăng nhập bằng tên và mật khẩu. Các khóa mã hóa được cung cấp một cách an toàn trong chế độ background và duy nhất cho mỗi người dùng cũng như mỗi session.

Phương pháp này cho phép quản lý tập trung và toàn diện đối với sự an toàn của mạng Wi-Fi.

Thay vì load các khóa mã hóa vào các máy tính nơi các nhân viên và những người dùng khác có thể phát hiện ra chúng, mỗi người dùng sẽ đăng nhập vào mạng bằng tài khoản riêng của mình khi sử dụng chế độ Enterprise. Bạn có thể dễ dàng thay đổi hoặc thu hồi truy cập nếu cần. Cách thức này đặc biệt hữu dụng khi có các nhân viên rời công ty hoặc laptop bị đánh cắp. Nếu sử dụng chế độ Personal, bạn sẽ phải tự thay đổi các khóa mã hóa trên tất cả các máy tính và các điểm truy cập (AP).

Một thành phần đặc biệt của chế độ Enterprise là máy chủ RADIUS/AAA. Máy chủ này sẽ truyền thông với các AP trên mạng và tra cứu cơ sở dữ liệu người dùng. Cân nhắc đến việc sử dụng Internet Authentication Service (IAS) của Windows Server 2003 hay Network Policy Server (NPS) của Windows Sever 2008.

2. Thẩm định bảo mật vật lý

Bảo mật cho một hệ thống không dây không phải chỉ đơn thuần là các công việc kỹ thuật. Bạn có thể có được kỹ thuật mã hóaWi-Fi tốt nhất nhưng vẫn có ai đó có thể truy cập vào mạng của bạn bằng cách sử dụng cổng ethernet. Hoặc người nào đó có thể vào công ty hay nhà bạn và ấn nút reset của điểm truy cập và khôi phục lại các thiết lập mặc định nhà máy và để mở hoàn toàn mạng không dây của bạn. Hãy bảo đảm rằng tất cả các AP của bạn phải nằm ngoài tầm với của những người không cần thiết và ngoài tầm nhìn của nhân viên trong công ty. Thay vì đặt các AP trên bàn, hãy gắn nó lên tường hoặc trần nhà là cách làm tốt nhất.

Bạn có thể cân nhắc đến việc gắn các AP ngoài tầm nhìn và lắp đặt thêm các anten mở rộng để tăng tín hiệu thu phát của AP. Cách thức này cho phép bạn bảo mật được AP trong khi vẫn cung cấp tín hiệu không dây tốt thông qua các anten có độ khuếch đại cao.

Tuy nhiên không chỉ các AP là thành phần mà bạn cần quan tâm. Tất cả các thành phần mạng cũng cần được bảo vệ đúng cách, thậm chí ngay cả cáp ethernet. Các hacker có thể cắt đứt cáp ethernet của bạn và truy cập vào mạng của bạn bằng cách đó.

Cùng với việc gắn và bảo vệ các AP, bạn cũng cần kiểm tra chặt chẽ các AP của mình. Tạo một trang bảng tính để ghi chép các model AP được sử dụng cùng với các địa chỉ IP và MAC. Thêm vào đó là nơi đặt chúng. Cách này giúp bạn biết chính xác nơi đặt AP khi thực hiện các hành động kiểm tra hoặc kiểm tra một AP nào đó có vấn đề.

3. Cài đặt hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS)

Các hệ thống này thường có một chương trình phần mềm để sử dụng adapter không dây của bạn nhằm phát hiện xem các tín hiệu Wi-Fi xem có vấn đề nào hay không. Chúng có thể phát hiện các AP giả mạo, một AP mới xuất hiện trong mạng hoặc một AP đang tồn tại được reset về các thiết lập mặc định hay không hợp kiểu với một tập các chuẩn mà bạn đã định nghĩa.

Các hệ thống này cũng có thể phân tích các gói mạng để xem có ai đó có thể đang sử dụng kỹ thuật hacking hay jamming hay không.

Có nhiều hệ thống phát hiện và ngăn chặn xâm nhập khác nhau và sử dụng nhiều kỹ thuật khác nhau. Bạn có thể sử dụng các tùy chọn mã nguồn mở hoặc miễn phí phải nói đến như Kismet và Snort. Bên cạnh đó là các sản phẩm thương mại của nhiều hãng khác như AirMagnet, AirDefense và AirTight.

4. Tạo các chính sách sử dụng mạng không dây

Cùng với các hướng dẫn sử dụng máy tính, bạn cần phải có một tập các chính sách đặc biệt cho việc truy cập mạng Wi-Fi, tối thiểu các chính sách đó phải như những gì được liệt kê dưới đây:

• Danh sách các thiết bị được thẩm định có quyền truy cập mạng không dây: Đây là cách tốt nhất để từ chối tất cả các thiết bị và cho phép các thiết bị mong muốn bằng cách sử dụng lọc địa chỉ MAC trên router mạng của bạn. Mặc dù các địa chỉ MAC có thể bị giả mạo, nhưng cách thức này vẫn cung cấp sự điều khiển ở một mức độ nào đó trên các thiết bị mà nhân viên của bạn đang sử dụng trên mạng. Bạn cần giữ một copy chứa tất cả các thiết bị được phép và các chi tiết của chúng để so sánh đối chiếu khi kiểm tra mạng và nhập vào các hệ thống phát hiện xâm nhập.

• Danh sách các cá nhân có thẩm quyền truy cập vào mạng Wi-Fi. Danh sách này này có thể được điều chỉnh lại khi sử dụng thẩm định 802.1X (WPA/WPA2-Enterprise) bằng cách tạo các tài khoản trong máy chủ RADIUS cho những ai cần truy cập Wi-Fi. Nếu thẩm định 802.1X cũng đang được sử dụng trên mạng chạy dây thì bạn có thể chỉ định người dùng nhận truy cập chạy dây hoặc không dây bằng cách thay đổi Active Directory hoặc sử dụng các chính sách thẩm định trên bản thân máy chủ RADIUS.

• Các rule trong thiết lập router không dây hoặc AP: Cho ví dụ, chỉ phòng CNTT mới có quyền thiết lập thêm các AP để các nhân viên không thể mang AP từ nhà của mình đến và cắm vào mạng để mở rộng phạm vi tín hiệu. Một rule bên trong cho phòng CNTT là có thể định nghĩa các model và cấu hình thiết bị có thể được sử dụng.

• Các Rule đang sử dụng trên các hotspot Wi-Fi hoặc kết nối đến các mạng gia đình với các thiết bị công ty. Vì dữ liệu trên một thiết bị hoặc laptop có thể bị thỏa hiệp và hành động Internet có thể bị kiểm tra trên các mạng không dây không an toàn nên bạn có thể hạn chế các kết nối Wi-Fi chỉ cho mạng công ty. Vấn đề này có thể được điều khiển bằng cách đặt thêm các bộ lọc mạng với tiện ích Network Shell (netsh) trong Windows. Cách khác có thể thực hiện là bạn có thể yêu cầu một kết nối VPN cho mạng công ty để bảo vệ hoạt động Internet và các file truy cập từ xa.

5. Sử dụng SSL hoặc IPsec phía trên mã hóa Wi-Fi

Mặc dù có thể đang sử dụng mã hóa Wi-Fi mới nhất (trên lớp 2 của mô trình OSI) nhưng bạn vẫn cần xem xét đến việc thực thi một cơ chế bảo mật khác, chẳng hạn như IPSec (trên lớp 3 của mô trình OSI). Ngoài việc cung cấp sự mã hóa hai lần trên các hệ thống không dây, nó cũng có thể bảo vệ kết nối chạy dây. Cách thức này sẽ ngăn chặn được hành vi nghe trộm từ phía các nhân viên hoặc những kẻ xấu bên ngoài thâm nhập vào cổng ethernet.

      
North
North Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 495

Danh vọng : 976

Uy tín : 3

Bảo mật wlan bằng radius server trên Cisco

Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network), là một mạng dùng để kết nối hai hay nhiều máy tính với nhau mà không sử dụng dây dẫn. WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến cho phép truyền thông giữa các thiết bị trong một vùng nào đó.

Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990.

Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4Ghz

Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) đã phê chuẩn sự ra đời của chuẩn 802.11.

Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn 802.11a và 802.11b

Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g mà có thể truyền nhận thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu lên đến 54Mbps.

1.1.2 Ưu điểm của WLAN


  • Sự tiện lợi
  • Khả năng di động
  • Hiệu quả
  • Triển khai
  • Khả năng mở rộng


1.1.3 Nhược điểm của WLAN


  • Bảo mật
  • Phạm vi
  • Độ tin cậy
  • Tốc độ


1.2 CÁC CHUẨN THÔNG DỤNG CỦA WLAN

Hiện nay tiêu chuẩn chính cho Wireless là một họ giao thức truyền tin qua mạng không dây IEEE 802.11. Do việc nghiên cứu và đưa ra ứng dụng rất gần nhau nên có một số giao thức đã thành chuẩn của thế giới, một số khác vẫn còn đang tranh cãi và một số còn đang dự thảo. Một số chuẩn thông dụng như: 802.11b (cải tiến từ 802.11), 802.11a, 802.11g, 802.11n.

1.2.1 Chuẩn IEEE 802.11b

Bảng 1.1 Một số thông số kỹ thuật của chuẩn IEEE 802.11b

Release Date
Op. Frequency
Data Rate (Typ)
Data Rate (Max)
Range (Indoor)
October 19992.4 GHz4.5 Mbit/s11 Mbit/s~35 m

1.2.2 Chuẩn IEEE 802.11a

Bảng 1.2 Một số thông số kỹ thuật của chuẩn IEEE 802.11a

Release Date
Op. Frequency
Data Rate (Typ)
Data Rate (Max)
Range (Indoor)
October 19995 GHz23 Mbit/s54 Mbit/s~35 m

1.2.3 IEEE 802.11g

Bảng 1.3 Một số thông số kỹ thuật của chuẩn IEEE 802.11g

Release Date
Op. Frequency
Data Rate (Typ)
Data Rate (Max)
Range (Indoor)
June 20032.4 GHz23 Mbit/s54 Mbit/s~35 m

1.2.4 Chuẩn IEEE 802.11n

Bảng 1.4 Một số thông số kỹ thuật của chuẩn IEEE 802.11n

Release Date
Op. Frequency
Data Rate (Typ)
Data Rate (Max)
Range (Indoor)
June 2009 (est.)5 GHz and/or 2.4 GHz74 Mbit/s300 Mbit/s (2 streams)~70 m

Ngoài những chuẩn phổ biến được nêu ra ở trên thì cũng còn rất nhiều chuẩn IEEE 802.1x khác như: IEEE 802.1i, IEEE 802.1h, …

1.3 CẤU TRÚC VÀ CÁC MÔ HÌNH WLAN

1.3.1 Cấu trúc cơ bản của WirelessLAN

Có 4 thành phần chính trong các loại mạng sử dụng chuẩn 802.11:


  • Hệ thống phân phối (DS _ Distribution System)
  • Điểm truy cập (Access Point)
  • Tần liên lạc vô tuyến (Wireless Medium)
  • Trạm (Stattions)


1.3.2 Các thiết bị hạ tầng mạng không dây


  • Điểm truy cập: AP (Access Point)


Cung cấp cho các máy khách(client) một điểm truy cập vào mạng "Nơi mà các máy tính dùng wireless có thể vào mạng nội bộ của công ty". AP là một thiết bị song công(Full duplex) có mức độ thông minh tương đương với một chuyển mạch Ethernet phức tạp (Switch).


  • Các chế độ hoạt động của AP


AP có thể giao tiếp với các máy không dây, với mạng có dây truyền thống và với các AP khác. Có 3 Mode hoạt động chính của AP: Root mode, Bridge mode và Repeater mode.


  • Các thiết bị máy khách trong WLAN


Là những thiết bị WLAN được các máy khách sử dụng để kết nối vào WLAN.


  • Card PCI Wireless
  • Card PCMCIA Wireless
  • Card USB Wireless


1.3.2 Các mô hình WLAN

Mạng 802.11 linh hoạt về thiết kế, gồm 3 mô hình mạng sau:


  • Mô hình mạng độc lập (IBSSs) hay còn gọi là mạng Ad hoc.
  • Mô hình mạng cơ sở (BSSs).
  • Mô hình mạng mở rộng (ESSs).


i) Mô hình mạng AD HOC (Independent Basic Service Sets - IBSSs)

ii) Mô hình mạng cơ sở (Basic service sets - BSSs)

iii) Mô hình mạng mở rộng (Extended Service Set - ESSs)

1.4 THỰC TRẠNG VỀ BẢO MẬT WLAN HIỆN NAY

Nếu con số thống kê đúng thì cứ 5 người dùng mạng không dây tại nhà có đến 4 người không kích hoạt bất kỳ chế độ bảo mật nào. Mặc định, các nhà sản xuất tắt chế độ bảo mật để cho việc thiết lập ban đầu được dễ dàng, khi sử dụng bạn phải mở lại. Tuy nhiên, chúng ta cần phải cẩn thận khi kích hoạt tính năng bảo mật, dưới đây là một số sai lầm thường gặp phải.


  • Sai lầm 1. Không thay đổi mật khẩu của nhà sản xuất.
  • Sai lầm 2. Không kích hoạt tính năng mã hóa.
  • Sai lầm 3. Không kiểm tra chế độ bảo mật.
  • Sai lầm 4. Quá tích cực với các thiết lập bảo mật mà không nhớ địa chỉ MAC của máy tính chúng ta.
  • Sai lầm 5. Cho phép mọi người truy cập.


CHƯƠNG 2. CÁC HÌNH THỨC TẤN CÔNG WLAN

Theo rất nhiều tài liệu nghiên cứu, hiện tại để tấn công vào mạng WLAN thì các Attacker có thể sử dụng một trong những cách sau:


  • Rogue Access Point
  • De-authentication Flood Attack
  • Fake Access Point
  • Tấn công dựa trên sự cảm nhận lớp vật lý
  • Disassociation Flood Attack


2.1 ROGUE ACCESS POINT

i) Định nghĩa

Access Point giả mạo được dùng để mô tả những Access Point được tạo ra một cách vô tình hay cố ý làm ảnh hưởng đến hệ thống mạng hiện có. Nó được dùng để chỉ các thiết bị hoạt động không dây trái phép mà không quan tâm đến mục đích sử dụng của chúng.

ii) Phân loại


  • Access Point được cấu hình không hoàn chỉnh
  • Access Point giả mạo từ các mạng WLAN lân cận
  • Access Point giả mạo do kẻ tấn công tạo ra
  • Access Point giả mạo được thiết lập bởi chính nhân viên của công ty


2.2 TẤN CÔNG YÊU CẦU XÁC THỰC LẠI


  • Kẻ tấn công xác định mục tiêu tấn công là các người dùng trong mạng wireless và các kết nối của họ (Access Point đến các kết nối của nó).
  • Chèn các frame yêu cầu xác thực lại vào mạng WLAN bằng cách giả mạo địa chỉ MAC nguồn và đích lần lượt của Access Point và các người dùng.
  • Người dùng wireless khi nhận được frame yêu cầu xác thực lại thì nghĩ rằng chúng do Access Point gửi đến.
  • Sau khi ngắt được một người dùng ra khỏi dịch vụ không dây, kẻ tấn công tiếp tục thực hiện tương tự đối với các người dùng còn lại.
  • Thông thường người dùng sẽ kết nối lại để phục hồi dịch vụ, nhưng kẻ tấn công đã nhanh chóng tiếp tục gửi các gói yêu cầu xác thực lại cho người dùng.


2.3 FAKE ACCESS POINT

Kẻ tấn công sử dụng công cụ có khả năng gửi các gói beacon với địa chỉ vật lý (MAC) giả mạo và SSID giả để tạo ra vô số Access Point giả lập. Điều này làm xáo trộn tất cả các phần mềm điều khiển card mạng không dây của người dùng.

2.4 TẤN CÔNG DỰA TRÊN SỰ CẢM NHẬN SÓNG MANG LỚP VẬT LÝ

Ta có thể hiểu nôm na là: Kẻ tất công lợi dụng giao thức chống đụng độ CSMA/CA, tức là nó sẽ làm cho tất cả người dùng nghĩ rằng lúc nào trong mạng cũng có 1 máy tính đang truyền thông. Điều này làm cho các máy tính khác luôn luôn ở trạng thái chờ đợi kẻ tấn công ấy truyền dữ liệu xong  dẫn đến tình trạng nghẽn trong mạng.

2.5 TẤN CÔNG NGẮT KẾT NỐI


  • Kẻ tấn công xác định mục tiêu (wireless clients) và mối liên kết giữa AP với các clients.
  • Kẻ tấn công gửi disassociation frame bằng cách giả mạo Source và Destination MAC đến AP và các client tương ứng.
  • Client sẽ nhận các frame này và nghĩ rằng frame hủy kết nối đến từ AP. Đồng thời kẻ tấn công cũng gởi disassociation frame đến AP.
  • Sau khi đã ngắt kết nối của một client, kẻ tấn công tiếp tục thực hiện tương tự với các client còn lại làm cho các client tự động ngắt kết nối với AP.
  • Khi các clients bị ngắt kết nối sẽ thực hiện kết nối lại với AP ngay lập tức. Kẻ tấn công tiếp tục gởi disassociation frame đến AP và clients.


Có thể ta sẽ rất dễ nhầm lẫn giữa 2 kiểu tấn công : Disassociation flood attack và De-authentication Flood Attack.


  • Giống nhau : Về hình thức tấn công, có thể cho rằng chúng giống nhau vì nó giống như một đại bác 2 nòng , vừa tấn công Access Point vừa tấn công Clients. Và quan trọng hơn hết, chúng "nả pháo" liên tục.


  • Khác nhau:


    • De-authentication Flood Attack: Yêu cầu cả AP và client gởi lại frame xác thực failed.
    • Disassociation flood attack : Gởi disassociation frame làm cho AP và client tin tưởng rằng kết nối giữa chúng đã bị ngắt.



CHƯƠNG 3. CÁC GIẢI PHÁP BẢO MẬT WLAN

3.1 TẠI SAO PHẢI BẢO MẬT WLAN?


  • Những nguy cơ bảo mật trong WLAN bao gồm:

    • Các thiết bị có thể kết nối tới những Access Point đang broadcast SSID.
    • Hacker sẽ cố gắng tìm kiếm các phương thức mã hoá đang được sử dụng trong quá trình truyền thông tin trên mạng, sau đó có phương thức giải mã riêng và lấy các thông tin nhạy cảm.
    • Người dụng sử dụng Access Point tại gia đình sẽ không đảm bảo tính bảo mật như khi sử dụng tại doanh nghiệp.


  • Để bảo mật mạng WLAN, ta cần thực hiện qua các bước: Authentication Encryption IDS & IPS.


3.2 WEP

WEP (Wired Equivalent Privacy) có nghĩa là bảo mật không dây tương đương với có dây. Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào cùng một phương thức không an toàn. WEP sử dụng một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng và cũng được sử dụng để mã hoá truyền dữ liệu.

3.3 WLAN VPN

Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu và dùng các thuật toán khác để xác thực gói dữ liệu. IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (public key). Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa.

3.4 TKIP (TEMPORAL KEY INTEGRITY PROTOCOL)

Là giải pháp của IEEE được phát triển năm 2004. Là một nâng cấp cho WEP nhằm vá những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP. TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin, nó cũng cung cấp phương thức để kiểm tra tính toàn vẹn của thông điệp MIC (message integrity check) để đảm bảo tính chính xác của gói tin. TKIP sử dụng khóa động bằng cách đặt cho mỗi frame một chuỗi số riêng để chống lại dạng tấn công giả mạo.

3.5 AES (Advanced Encryption Standard )

Trong mật mã học, AES (viết tắt của từ tiếng Anh: Advanced Encryption Standard, hay Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa. Giống như tiêu chuẩn tiền nhiệm DES, AES được kỳ vọng áp dụng trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng. AES được chấp thuận làm tiêu chuẩn liên bang bởi Viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm.

Thuật toán được thiết kế bởi hai nhà mật mã học người Bỉ: Joan Daemen và Vincent Rijmen (lấy tên chung là "Rijndael" khi tham gia cuộc thi thiết kế AES). Rijndael được phát âm là "Rhine dahl" theo phiên âm quốc tế (IPA: [ɹaindal]).

3.6 802.1X VÀ EAP

802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được định nghĩa bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây. Việc điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất.

EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức được sử dụng (MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.


  • Quá trình chứng thực 802.1x-EAP

    Wireless client muốn liên kết với một AP trong mạng.

    1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng, khi đó Client yêu cầu liên kết tới AP
    2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP
    3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP
    4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực
    5. Server chứng thực gửi một yêu cầu cho phép tới AP
    6. AP chuyển yêu cầu cho phép tới client
    7. Client gửi trả lời sự cấp phép EAP tới AP
    8. AP chuyển sự trả lời đó tới Server chứng thực
    9. Server chứng thực gửi một thông báo thành công EAP tới AP
    10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward.


3.7 WPA (WI-FI PROTECTED ACCESS)

WEP được xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhưng nhanh chóng sau đó người ta phát hiện ra nhiều lổ hỏng ở công nghệ này. Do đó, công nghệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đời, khắc phục được nhiều nhược điểm của WEP.

Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP. WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu.

Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. WPA có sẵn 2 lựa chọn: WPA PersonalWPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hóa lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.

3.8 WPA2

Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES. AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit. Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mỹ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này.

Lưu ý: Chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ các thông tin nhạy cảm.

3.9 LỌC (FILTERING)

Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP. Lọc hoạt động giống như Access list trên router, cấm những cái không mong muốn và cho phép những cái mong muốn. Có 3 kiểu lọc cơ bản có thể được sử dụng trong wireless lan:


  • Lọc SSID
  • Lọc địa chỉ MAC
  • Lọc giao thức


3.10 KẾT LUẬN


  • Cho các điểm truy cập tự động (hotspots), việc mã hoá không cần thiết, chỉ cần người dung xác thực mà thôi.
  • Với người dùng sử dụng mạng WLAN cho gia đình, một phương thức bảo mật với WPA passphare hay preshared key được khuyến cáo sử dụng.
  • Với giải pháp doanh nghiệp, để tối ưu quá trình bảo mật với 802.1x EAP làm phương thức xác thực và TKIP hay AES làm phương thức mã hoá. Được dựa theo chuẩn WPA hay WPA2 và 802.11i security.


Bảng 3.1 Escalating Security

Open Access
Basic Security
Enhanced Security
Remote Access
- No encryption
- Basic anthentication
- Public “hotspots”
- WPA Passphase

- WEP Encryption
- Home use
- 802.1x EAP

- Mutual Anthentication
- TKIP & AES Encrytion

- WPA/WPA2

- 802.11i Security Enterprise
- Virtual Private Network (VPN)
- Business Traveler
- Telecommuter

CHƯƠNG 4. BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP CHỨNG THỰC RADIUS SERVER VÀ WPA2

4.1 GIỚI THIỆU TỔNG QUAN

Việc bảo mật WLAN sử dụng chuẩn 802.1x kết hợp với xác thực người dùng trên Access Point (AP). Một máy chủ thực hiện việc xác thực trên nền tảng RADIUS có thể là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1x.

4.1.1 Xác thực, cấp phép và kiểm toán


  • Giao thức Remote Authentication Dial In User Service (RADIUS) được định nghĩa trong RFC 2865 như sau: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Accounting – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet.

  • Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify, và một message Authenticator.

  • Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp như NAS identify, và Authenticator thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ lệu. Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access-Request quyết định quá trình truy cập của user đó là được chấp nhận.

  • Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một RADIUS Access-Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hoá password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request.

  • Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thoả mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-Accept. Nếu không thoả mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối với user.

  • Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi mộtgói tin RADIUS Accounting-Request (Start) tới máy chủ AAA. Máy chủ sẽ thêm các thông tin vào file Log của nó, với việc NAS sẽ cho phép phiên làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting-Request (Stop).


4.1.2 Sự bảo mật và tính mở rộng

Tất cả các message của RADIUS đều được đóng gói bởi UDP datagrams, nó bao gồm các thông tin như: message type, sequence number, length, Authenticator, và một loạt các Attribute-Value.

Authenticator: Tác dụng của Authenticator là cung cấp một chế độ bảo mật. NAS và AAA Server sử dụng Authenticator để hiểu đuợc các thông tin đã được mã hóa của nhau như mật khẩu chẳng hạn. Authenticator cũng giúp NAS phát hiện sự giả mạo của gói tin RADIUS Responses. Cuối cùng, Authenticator được sử dụng làm cho để biễn password thành một dạng nào đó, ngăn chặn việc làm lộ mật khẩu của người dùng trong các message RADIUS.

Authenticator gửi Access-Request trong một số ngẫu nhiên. MD5 sẽ băm (hash) số ngẫu nhiên đó thành một dạng riêng là OR’ed cho mật khẩu của người dùng và gửi trong Access-Request User-Password. Toàn bộ RADIUS response sau đó được MD5 băm (hash) với cùng thông số bảo mật của Authenticator, và các thông số response khác.

Authenticator giúp cho quá trình giao tiếp giữa NAS và máy chủ AAA được bảo mật nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS Access-Request và Access-Response thì có thể thực hiện "dictionary attack" để phân tích việc đóng gói này. Trong điều kiện thực tế để việc giải mã khó khăn bạn cần phải sử dụng những thông số dài hơn, toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này được miêu tả rất kỹ trong RFC 3580.

Attribute-Value Pairs: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương thức xác thực khác nhau. Một chuẩn được định nghĩa trong Attribute-Value pairs (cặp đôi), bao gồm User-Name, User-Password, NAS-IPAddress, NAS-Port, Service-Type. Các nhà sản xuất (vendors) cũng có thể định nghĩa Attribute-Value pairs để mang các thông tin của mình như Vendor-Specific toàn bộ ví dụ này được miêu tả trong RFC 2548 - Định nghĩ Microsoft Attribute-Value pair trong MS-CHAP.

Thêm vào đó, rất nhiều chuẩn Attribute-Value pairs được định nghĩa trong nhiều năm để hỗ trợ Extensible Authentication Protocol (EAP), một dạng khác cũ hơn của nó là PAP và CHAP dial-up protocol. Bạn có thể tìm thấy trong tài liệu RFC 3579 cho phiên bản mới nhất của RADIUS hỗ trợ EAP. Trong phần này sẽ nói rất rõ về hỗ trợ xác thực cho WLAN, từ khi chuẩn EAP được sử dụng cho 802.1x Port Access Control để cho phép xác thực từ bên ngoài cho wireless.

4.1.3 Áp dụng RADIUS cho WLAN

Trong một mạng Wireless sử dụng 802.1x Port Access Control, các máy trạm sử dụng wireless với vai trò Remote User và Wireless Access Point làm việc như một Network Access Server (NAS). Để thay thế cho việc kết nối đến NAS với dial-up như giao thức PPP, wireless station kết nối đến Access Point bằng việc sử dụng giao thức 802.11.

Một quá trình được thực hiện, wireless station gửi một message EAP-Start tới Access Point. Access Point sẽ yêu cầu station nhận dạng và chuyển các thông tin đó tới một AAA Server với thông tin là RADIUS Access-Request User-Name attribute.

Máy chủ AAA và wireless station hoàn thành quá trình bằng việc chuyển các thông tin RADIUS Access-Challenge và Access-Request qua Access Point. Được quyết định bởi phía trên là một dạng EAP, thông tin này được chuyển trong một đường hầm được mã hoá TLS (Encypted TLS Tunnel).

Nếu máy chủ AAA gửi một message Access-Accept, Access Point và wireless station sẽ hoàn thành quá trình kết nối và thực hiện phiên làm việc với việc sử dụng WEP hay TKIP để mã hoá dữ liệu. Và tại điểm đó, Access Point sẽ không cấm cổng và wireless station có thể gửi và nhận dữ liệu từ hệ thống mạng một cách bình thường.

Cần lưu ý là mã hoá dữ liệu từ wireless station tới Access Point khác với quá trình mã hoá từ Access Point tới máy chủ AAA Server (RADIUS Server).

Nếu máy chủ AAA gửi một message Access-Reject, Access Point sẽ ngắt kết nối tới station. Station có thể cố gắng thử lại quá tình xác thực, nhưng Access Point sẽ cấm station này không gửi được các gói tin tới các Access Point ở gần đó. Chú ý là station này hoàn toàn có khả năng nghe được các dữ liệu được truyền đi từ các stations khác – Trên thực tế dữ liệu được truyền qua sóng radio và đó là câu trả lời tại sao bạn phải mã hoá dữ liệu khi truyền trong mạng không dây.

Attribute-Value pare bao gồm trong message của RADIUS có thể sử dụng bởi máy chủ AAA để quyết định phiên làm việc giữa Access Point và wireless station, như Sesstion-Timeout hay VLAN Tag (Tunnel-Type=VLAN, Tunnel-Private-Group-ID=tag). Chính xác các thông tin thêm vào có thể phụ thuộc vào máy chủ AAA Server hay Access Point và station bạn sử dụng.

4.1.4 Các tùy chọn bổ sung

Một vấn đề đầu tiên bạn phải hiểu vai trò của RADIUS trong quá trình xác thực của WLAN, bạn phải thiết lập một máy chủ AAA hỗ trợ interaction.


  • Nếu bạn có một máy chủ AAA trong mạng gọi là RADIUS, nó đã sẵn sàng để hỗ trợ xác thực cho chuẩn 802.1x và cho phép chọn lựa các dạng EAP. Nếu đã có bạn chuyển tiếp đến bước tiếp theo là làm thế nào để thiết lập tính năng này.

  • Nếu bạn có một RADIUS – AAA Server không hỗ trợ 802.1x, hoặc không hỗ trợ các dạng EAP, bạn có thể lựa chọn bằng cách cập nhật các phiên bản phần mềm mới hơn cho server, hay bạn có thể cài đặt một máy chủ mới. Nếu bạn cài đặt một máy chủ AAA hỗ trợ xác thực cho chuẩn 802.1x, bạn có thể sử dụng tính năng RADIUS proxy để thiết lập một chuỗi các máy chủ, cùng chia sẻ chung một cơ sở dữ liệu tập trung, RADIUS proxy có thể sử dụng để chuyển các yêu cầu xác thực tới máy chủ có khả năng xác thực qua chuẩn 802.1x.

  • Nếu bạn không có một RADIUS – là máy chủ AAA, bạn cần thiết phải cài đặt một máy chủ cho quá trình xác thực của WLAN, lựa chọn cài đặt này là một công việc thú vị.


Với cơ sở tập trung - Giải pháp sử dụng RADIUS cho mạng WLAN là rất quan trọng bởi nếu một hệ thống mạng của bạn có rất nhiều Access Point việc cấu hình để bảo mật hệ thống này là rất khó nếu quản lý riêng biệt, người dùng có thể xác thực từ nhiều Access Point khác nhau và điều đó là không bảo mật.

Khi sử dụng RADIUS cho WLAN mang lại khả năng tiện lợi rất cao, xác thực cho toàn bộ hệ thống nhiều Access Point, … cung cấp các giải pháp thông minh hơn.

4.1.5 Chúng ta sẽ lựa chọn máy chủ RADIUS như thế nào là hợp lý?

Phần này sẽ trình bày việc quản lý sử dụng ứng dụng cũng như giá cả của một máy chủ RADIUS nếu được triển khai sẽ là bao nhiêu để có thể phù hợp với doanh nghiệp.

Trong phần trên, chúng ta đã hiểu được máy chủ RADIUS cung cấp xác thực cho 802.1x Port Access Control. Chúng ta cần quan tâm đến việc triển khai các tuỳ chọn cho các giải pháp sử dụng chuẩn 802.1x. Việc quản lý sử dụng ứng dụng này cũng như giá cả của một máy chủ RADIUS nếu được triển khai sẽ là bao nhiêu để có thể phù hợp với doanh nghiệp.


  • Chi phí

    Các công việc kinh doanh muốn nâng cao tính bảo mật cho hệ thống mạng WLAN nhưng lại sử dụng chuẩn 802.1x – và với yêu cầu này thì lựa chọn việc triển khai RADIUS là hợp lý.

    Deploy WPA with Preshared Keys: Nâng cấp hệ thống mạng WLAN của bạn đang sử dụng từ Wired Equivalent Privacy (WEP) tới Wi-Fi Protected Access (WPA) có thực hiện không cần phải sử dụng RADIUS mà bằng cách sử dụng Preshared Keys (PSK) hỗ trợ cho chuẩn 802.1x. Preshared Keys không thể thực hiện việc xác thực cho mỗi user và khả năng chống các cuộc tấn công "dictionary attack" là rất kém do tồn tại khá nhiều vấn đề về bảo mật. Nếu sử dụng giải pháp này việc kinh doanh của bạn sẽ có nhiều rủi do hơn, và chỉ áp dụng cho môi trường nhỏ thì giải pháp WPA-PSK là hợp lý.

    Use Microsoft's RADIUS Server: Nếu bạn có một máy chủ chạy hệ điều hành Microsoft Windows Server 2000/2003 thì hoàn toàn có khả năng, với việc sử dụng Microsoft’s Internet Authentication Service (IAS).

    IAS cần thiết cho các nhà quản trị hay các user phải làm việc trên môi trường Windows. Và nó cũng là một trong những tính năng cao cấp của Microsoft Wireless Provisioning Service.

    Install an Open Source RADIUS Server: Nếu bạn không có một phiên bản Windows, một lựa chọn cho bạn nữa là sử dụng giải pháp phần mềm mã nguồn mở, bạn có thể tham khảo tại: http://www.freeradius.org. Với khả năng hỗ trợ cho chuẩn 802.1x các máy chủ chạy hệ điều hành mã nguồn mở như Linux, Free or OpenBSD, OSF/Unix, hoặc Solaris đều có thể sử dụng làm RADIUS Server.

    Mua một Commercial RADIUS Server: Trong trường hợp phải sử dụng một giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn bộ các tính năng cũng như khả năng an toàn, và độ ổn định bạn có thể mua các bản thương mại từ các nhà sản xuất khác, với tính năng hỗ trợ 802.1x và là một RADIUS Server chuyên nghiệp:



    Commercial RADIUS Servers có giá cả tuỳ vào khả năng của sản phẩm. Ví dụ bạn mua một Funk Odyssey Server, bao gồm 25 license Odyssey Client. VOB Radius Small Bussiness giá khởi điểm là $995 cho 100 Users. Một máy chủ Radiator license giá $720.

    RADIUS server cũng có thể bao gồm cả giá của phần cứng/phần mềm. Ví dụ Funk’s Steel-Belted Radius có giá trên một Network Engines là $7500. LeapPoint’s AiroPoint 3600 – SE có giá khởi điểm là $2499 cho 50 clients. Toàn bộ giá ở trên là ví dụ còn phụ thuộc nhiều vào nhà cung cấp phần mềm hay các đại lý của các hãng khác nhau.

    Ngoài ra với sự lựa chọn cho mạng doanh nghiệp nhỏ bạn không có điều kiện triển khai máy chủ RADIUS một giải pháp tốt cho bạn là sử dụng giải pháp bảo mật từ các công ty chuyên về bảo mật hệ thống mạng Wi-Fi như WSC Guard mang đến giải pháp bảo mật cho các dịch vụ trên nền 802.1x và với giá khởi điểm là $89 cho một người dùng một năm và sẽ xuống còn $59 khi khách hàng đăng ký 1000 người dùng.


4.2 MÔ TẢ HỆ THỐNG

Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có một sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra một mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng username password hợp lệ. Quá trình xác thực này được điều khiển bởi RADIUS server.


  • Mô tả yêu cầu:


    • Cấu hình RADIUS server trên Window Server 2003, tạo user và password cho các client dự định tham gia vào mạng.
    • Trên AP Linksys, thiết đặt security mode là WPA2-Enterprise.
    • Cho PC tham gia vào mạng, kiểm tra kết nối.




  • Thiết bị yêu cầu: 1 Access point Linksys WRT54G, 2 pc (1 pc có gắn card wireless và 1 pc làm Radius server).

    PC làm Radius server sử dụng hệ điều hành Windows Server 2003 Enterprise Edition và đã được nâng lên Domain Controller, PC làm wireless client sử dụng hệ điều hành Windows XP Professional và đã được join domain.



4.3 QUY TRÌNH CÀI ĐẶT

  • 4.3.1 Bước 1: Cài DHCP
  • 4.3.2 Bước 2: Cài Enterprise CA
  • 4.3.3 Bước 3: Cài Radius
  • 4.3.4 Bước 4: Chuyển sang Native Mode
  • 4.3.5 Bước 5: Cấu hình DHCP
  • 4.3.6 Bước 6: Cấu hình Radius
  • 4.3.7 Bước 7: Tạo users, cấp quyền Remote access cho users và cho computer
  • 4.3.8 Bước 8: Tạo Remote Access Policy
  • 4.3.9 Bước 9: Cấu hình AP và khai báo địa chỉ máy RADIUS
  • 4.3.10 Bước 10: Cấu hình Wireless Client


4.4 DEMO


  • Ta khởi động Radius server và AP. Từ Wireless Client ta đăng nhập với user name là “cuong”, password “1”.
  • Trên Radius Server, ta vào Administrative Tools Event Viewer Security.
  • Chi tiết cụ thể của quá trình đăng nhập được ghi lại trong log file như sau:

    ++--------------------------------------------------------------------------------------++
    User NGOCUONG\cuong was granted access.
    Fully-Qualified-User-Name = ngocuong.net/wifi/cuong
    NAS-IP-Address = 192.168.1.111
    NAS-Identifier = <not present>
    Client-Friendly-Name = Linksys 54G
    Client-IP-Address = 192.168.1.111
    Calling-Station-Identifier = 00-1B-77-09-BF-1E
    NAS-Port-Type = Wireless - IEEE 802.11
    NAS-Port = 1
    Proxy-Policy-Name = Use Windows authentication for all users
    Authentication-Provider = Windows
    Authentication-Server = <undetermined>
    Policy-Name = wifi
    Authentication-Type = PEAP
    EAP-Type = Secured password (EAP-MSCHAP v2)
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    ++--------------------------------------------------------------------------------------++


SVTH: Đặng Ngọc Cường, K10-101-0003

      
North
North Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 495

Danh vọng : 976

Uy tín : 3

Cấu hình 802.1X trong Mac OS X Lion

Việc cấu hình các thiết lập mạng không dây trong các phiên bản mới có nhiều khác biệt so với các phiên bản trước đây của hệ điều hành Mac OS.

Việc cấu hình các thiết lập mạng không dây trong các phiên bản mới có nhiều khác biệt so với các phiên bản trước đây của hệ điều hành Mac OS. Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách thực hiện việc cấu hình <> 802.1X trong trong Mac OS X Lion và các phiên bản mới hơn.

Nếu nâng cấp lên Mac OS X 10.7 Lion (hoặc phiên bản mới hơn) từ 10.6 Snow Leopard (hoặc các phiên bản trước đó) và kết nối mạng Wi-Fi sử dụng bảo mật WPA/WPA2-Enterprise, chúng ta sẽ thấy sự khác biệt khi cấu hình các thiết lập mạng.

Apple đã bỏ tính năng cho phép bạn tự đặt các thiết lập xác thực 802.1X (được yêu cầu cho bảo mật Enterprise) từ giao diện người dùng. Đây không phải là những gì được sử dụng để đối phó với Mac OS X 10.6 và các phiên bản trước. Bạn sẽ vẫn thấy tab 802.1X trong thiết lập Wi-Fi, tuy nhiên nó chỉ cho phép bạn xem 802.1X profile đã được import và lựa chọn một trong số chúng nếu có nhiều profile.

Mặc dù vậy chúng ta vẫn có thể kết nối với các mạng không dây bằng bảo mật Enterprise với xác thực 802.1X. Dưới đây là cách thực hiện:

KẾT NỐI KHÔNG CÓ HƯỚNG DẪN CẤU HÌNH

Đầu tiên, kết nối với mạng bằng cách chọn mạng trong danh sách menu AirPort ở góc trên bên phải desktop, giống như cách kết nối đến các mạng Wi-Fi. Sau đó bạn sẽ thấy nhắc nhở nhập các chứng chỉ mạng, username và password (những chứng chỉ được cung cấp bởi quản trị viên mạng). Với kết nối đầu tiên, bạn sẽ thấy nhắc nhở yêu cầu thẩm định chứng chỉ máy chủ và yêu cầu nhập mật khẩu tài khoản Mac OS X để lưu thiết lập tin cậy.

TÌM FILE CẤU HÌNH

Nếu các thiết lập cấu hình máy chủ xác thực trong mạng không hỗ trợ các kết nối đơn giản hoặc muốn sử dụng phương pháp Login Window hoặc System được cung cấp bởi Mac OS X, bạn cần phải tự mình cấu hình các thiết lập.
Đầu tiên, hãy hỏi quản trị viên mạng về file .mobileconfig cho thiết lập 802.1X. Nếu có, bạn có thể mở file này trong Mac OS X để cài đặt 802.1X profile.

TẠO FILE CẤU HÌNH

Nếu không có file .mobileconfig, bạn có thể tạo một file cấu hình bằng cách sử dụng iPhone Configuration Utility (iPCU) được cung cấp miễn phí bởi Apple, tiện ích cho phép tạo và quản lý các cấu hình cho thiết bị iOS như iPhones, iPod Touches và iPads.

iPhone Configuration Utility (iPCU) có thể được cài đặt và chạy trên Mac OS X hoặc Windows. Cần lưu ý rằng; tốt nhất hãy cài đặt và sử dụng iPCU trên máy tính đã kết nối thành công với mạng, vì nó lúc này nó đã cài đặt chứng chỉ số CA của máy chủ xác thực. Nếu là một quản trị viên mạng, bạn cũng có thể sử dụng iPCU hoặc nếu có máy chủ Lion, bạn có thể sử dụng dịch vụ Profile Manager của nó.

Có thể sử dụng iPCU để tạo profile cho người dùng, nhóm người dùng cụ thể, hoặc sử dụng một profile cho tất cả các đối tượng. Để thực hiện, mở iPCU, chọn <>Configuration Profiles, và kích <>New.

Bắt đầu bằng cách vào thiết lập <>General. Tiếp đến, chọn <>Credentials và kích nút<> Configure để thêm chứng chỉ CA của máy chủ xác thực (và chứng chỉ máy khách nếu đang sử dụng giao thức EAP-TLS). Nếu không thấy chứng chỉ mong muốn, hãy cài đặt chúng vào máy tính.

<> Mẹo: Nếu không phải là một quản trị viên mạng, bạn không hiểu các chứng chỉ nào cần phải bổ sung thêm, hãy tham khảo các hướng dẫn cấu hình hoặc kết nối được cung cấp bởi các quản trị viên. Thậm chí ngay cả những hướng dẫn dành cho Windows hay Mac OS X 10.6 hay các phiên bản cũ hơn, chúng có thể cho bạn nhiều gợi ý về các thiết lập chứng chỉ yêu cầu cũng như các thiết lập khác.

Lúc này, chọn thiết lập <> Wi-Fi và kích nút <> Configure. Sau đó thiết lập bảo mật và Wi-Fi ở mức cơ bản. Khi chọn kiểu bảo mật Security Type là <>WPA/WPA2 Enterprise, bạn sẽ thấy các thiết lập Enterprise.

Trên tab Protocols trong trang Enterprise Settings, chọn kiểu <>EAP Type mong muốn (phổ biến nhất là PEAP).

Trên tab Authentication của Enterprise settings, bạn có thể nhập vào Username và Password nếu tạo profile cho người dùng cụ thể; ngược lại hãy để trắng để người dùng sẽ thấy nhắc nhở nhập chúng.

Trên tab Trust, hãy chọn chứng chỉ CA của máy chủ xác thực. Để tăng bảo mật, bạn nên thêm Trusted Server Certificate Name và hủy chọn tùy chọn <>Allow Trust Exceptions. Nếu chứng chỉ máy khách hoặc người dùng cũng được yêu cầu, chẳng hạn như với EAP-TLS, upload chứng chỉ Identify Certificate trên tab Authentication.

Sau khi đã thực hiện xong các công việc của mình, bạn co thể email file cấu hình bằng cách kích <>Share, hoặc có thể tự phân phối file bằng cách kích <>Export. Khi người dùng mở hoặc download file .mobileconfig, họ sẽ gặp nhắc nhở bắt đầu quá trình cài đặt.

THÊM TRỢ GIÚP

Nếu cần thêm hỗ trợ, bạn có thể tham khảo hướng dẫn triển khai hay các tài liệu khác tại đây. Ở đây bạn sẽ tìm thấy nhiều thông tin chi tiết về thiết lập Wi-Fi và các thông tin tổng quan trong triển khai 802.1X trên Mac OS X Lion hoặc các phiên bản mới cũng như các thiết bị iOS như iPhones, iPod Touches và iPad.
      
      

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang  Thông điệp [Trang 1 trong tổng số 1 trang]

Quyền hạn của bạn

Bạn không có quyền trả lời bài viết
free counters



  • Đoàn Ngọc Khánh

    mobile phone 098 376 5575


    Đỗ Quang Thảo

    mobile phone 090 301 9666


    Nguyễn Văn Của

    mobile phone 090 372 1401


    IP address signature
    Free forum | © PunBB | Free forum support | Liên hệ | Báo cáo lạm dụng | Thảo luận mới nhất